Une faille dans un composant logiciel extrêmement répandu rend vulnérables de nombreux systèmes, logiciels et éléments des infrastructures informatiques. Et si c’est la panique, c’est parce que cette redoutable faille est aussi très simple à exploiter mais pas si simple à corriger !

La divulgation vendredi dernier d’une faille Zero-Day dans la librairie Log4j d’Apache a ruiné le week-end de bien des RSSI et des développeurs. Un bug (référencé sous le numéro CVE-2021-44228) dans cette bibliothèque open source permet l’exécution à distance de codes malveillants.

Pour Amit Yoran, Président et CEO de Tenable, « la vulnérabilité d’exécution de code à distance d’Apache Log4j est la plus grande et la plus critique des vulnérabilités de la dernière décennie. Lorsque toutes les recherches seront terminées, nous apprendrons peut-être qu’il s’agit de la plus grande vulnérabilité de l’histoire de l’informatique moderne.

Plusieurs caractéristiques font de cette faille, dénommée Log4Shell, un enfer pour les entreprises, les DSI, les RSSI et autres spécialistes de la cybersécurité :

– La faille est très simple à exploiter et s’appuie sur de simples chaînes de caractères à pervertir.

– La faille ne nécessite aucune authentification préalable pour être exploitée.

– La bibliothèque de journalisation Log4j est extrêmement populaire et utilisée par de nombreux logiciels d’infrastructures : Akamai, Apache, AppDynamics, Apigee, Ariba, Arista, Atlassian, BitDefender, Boomi, BMC, CarbonBlack, CheckPoint, Citrix, CyberArk, CyberReason,  Docker, DynaTrace, Eset, Extreme Networks, F5, Fastly, Fortinet, GitHub, GitLab, HCL, Hitachi, HPE, Huawei, IBM, Imperva, Informatica, Jenkins, JFrog, Kaseya, McAfee, Micro-Focus, Microsoft, Mulesoft, Neo4j, NetApp, NewRelic, Nutanix, Okta, Oracle, Palo-Alto, Pega, ProofPoint, Puppet, Pure Storage, Qlik, Quast KACE, RedHatn RSA, Rubrik, Salesforce, SAP, SAS, ServiceNow, Siemens, Software AG, SolarWinds, SonicWall, Sophos, Splunk, Synology, SysAid, SysDig, Talend, TealiumIQ, TP-Link, Trend Micro, Ubuntu, Varonis, Veritas, Veeam, VMware, WatchGuard, Zimbra, Zscaler…
Nous ne citons ici que des entreprises ayant déjà produit des patchs pour corriger la faille. Mais bien d’autres applications, y compris des applications métiers produites en interne par les entreprises exploitent Log4j et sont potentiellement vulnérables. « Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE » explique le CERT-FR.

Vu les acteurs et logiciels touchés par cette faille, on comprend mieux la panique qui s’est emparée d’Internet ces derniers jours. D’autant que comme la faille est très simple à exploiter elle est déjà très largement exploitée par les cyberattaquants partout à travers la planète. Dès le Week-End, Sophos observait une montée en flèche des attaques exploitant ou tentant d’exploiter cette vulnérabilité, le nombre de tentatives détectées atteignant déjà plusieurs centaines de milliers. Sean Gallagher, chercheur senior en menaces chez SophosLabs note que « depuis le 9 décembre, Sophos a détecté des centaines de milliers de tentatives d’exécution à distance de code exploitant la vulnérabilité Log4Shell. Au départ, il s’agissait de tests de type « preuve de concept » réalisés par des chercheurs en sécurité et des assaillants potentiels, entre autres, ainsi que de nombreux scans en ligne de la vulnérabilité. Ces tests ont été rapidement suivis de tentatives d’installation de mineurs de cryptomonnaie, notamment le botnet de minage Kinsing. Les informations les plus récentes laissent penser que les auteurs des attaques essaient d’exploiter la vulnérabilité afin de révéler les clés utilisées par des comptes AWS. Des signes indiquent également que des assaillants tentent de s’en servir pour installer des outils d’accès distant sur les réseaux de leurs victimes, dont peut être Cobalt Strike, un élément essentiel dans de nombreuses attaques de ransomwares. »

« La vulnérabilité Log4shell dans Log4j est définitivement dans le top-5 des vulnérabilités les plus graves de la dernière décennie, celle qui permet l’exécution de code à distance (RCE). Elle est comparable à EternalBlue, utilisée par WannaCry, ou à la vulnérabilité ShellShock de Bash. Ce qui la rend si grave, c’est la simplicité avec laquelle elle peut être exploitée à distance, ainsi que le nombre considérable d’applications qui l’utilisent. En outre, il faut plus de temps pour la corriger, car il ne s’agit pas d’un seul logiciel vulnérable à mettre à jour, mais plutôt d’une bibliothèque incluse dans de nombreuses applications, ce qui nécessite l’installation de nombreuses mises à jour différentes » explique ainsi Candid Wuest, VP de la recherche sur la cyberprotection chez Acronis.

Il y a donc urgence pour les entreprises à se protéger. « Étant donné que cette vulnérabilité permet à un attaquant malveillant d’exécuter n’importe quelle commande sur un processus Java vulnérable, il est crucial de donner la priorité à la correction de cette vulnérabilité dans les processus Java qui sont accessibles directement à partir d’un navigateur, d’un appareil mobile ou d’un appel d’interface de programmation d’application (ou API) » analyse Asad Ali, Senior Director du Global Center of Excellence de Dynatrace.

Et la seule véritable solution est de mettre à jour les logiciels utilisant la bibliothèque Log4j avec la dernière version corrigée 2.15.0.
CyberReason a été l’un des premiers à lancer un « vaccin » en open source qui exploite la faille pour corriger le bug de Log4j !
Dans l’urgence, le plus simple est encore de s’assurer que les solutions de sécurité dont vous disposez ont bien été mises à jour et embarquent bien des fonctionnalités de prévention contre les exploits prenant en charge cette faille. Le temps d’analyser tous les logiciels potentiellement impactés et de les mettre à jour. Ce qui prendra du temps vu la longue liste de logiciels du commerce impactés sans compter les développements internes.

Pour en savoir plus :

– Une vue technique : Log4Shell : JNDI Injection via Attackable Log4J | ShiftLeft Blog
– Alerte du CERT France : [MaJ] Vulnérabilité dans Apache Log4j – CERT-FR (ssi.gouv.fr)
– Une liste d’indicateurs de compromission : GitHub – curated-intel/Log4Shell-IOCs
– Les directives de remédiation par Apache Log4j : https://logging.apache.org/log4j/2.x/security.html
– Une liste de correctifs déjà disponibles pour vos logiciels : BlueTeam CheatSheet * Log4Shell*