log4shell log4h

Log4Shell : tout savoir sur la faille de cybersécurité la plus grave depuis 20 ans

La vulnérabilité Log4Shell met en péril des centaines de millions d’appareils et de logiciels reposant sur Log4j. Les agences de cybersécurité du monde entier tirent la sonnette d’alarme sur cette catastrophe.

Ce mardi 14 décembre 2021, la Cybersecurity and Infrastructure Agency (CISA) et le gouvernement américain tirent la sonnette d’alarme. Une vulnérabilité dans le logiciel Log4j pourrait impacter des millions d’appareils.

Le logiciel Log4j est un outil exécuté en arrière-plan d’un large nombre d’applications logicielles très utilisées. Une large variété d’appareils connectés à internet reposent sur une version vulnérable de Log4j2.

Cette bibliothèque est développée par l’Apache Software Foundation, et constitue un framework clé de Java-logging. Des centaines de produits logiciels utilisé dans le monde entier reposent sur Log4j, dont ceux d’Oracle, Cisco, RedHat, IBM, VMware, Splunk, ou les services Cloud de Microsoft Azure et Amazon Web Services.

Face à la gravité de la situation, la CISA a organisé une visioconférence. Au cours de cet appel, la directrice de la CISA, Jen Easterly, a annoncé aux industriels et aux membres du gouvernement l’ampleur de cette vulnérabilité dénommée Log4Shell.

Des centaines de millions d’appareils sont potentiellement concernés, et cette faille peut être exploitée par les cybercriminels. Cette spécialiste affirme qu’il s’agit de la plus grave faille de cybersécurité qu’elle ait vue en 20 ans de carrière.

Une porte ouverte pour les cybercriminels

En parallèle, des Membres du Congrès et des entreprises privées donnent aussi l’alerte. Selon le Démocrate Jim Langevin de Rhode Island,  » il s’agit tout simplement d’une porte ouverte qui pourrait permettre à un acteur malveillant de voler vos données ou d’orchestrer une attaque par rançongiciel « .

Également membre fondateur de la Cyberspace Solarium Commission, Langevin estime que cette vulnérabilité pourrait poser de graves problèmes aux entreprises. Pour cause, elle pourrait compromettre le système complet d’une entreprise et sa base de données, y compris les données et enregistrements de clients à l’échelle individuelle.

Aux yeux de cet expert, la gravité de cette vulnérabilité ne peut être sous-estimée. Il redoute par exemple que les hackers s’attaquent au site web d’une entreprise de gaz et désactive son gazoduc. Un tel incident serait terrible en plein hiver, car de nombreuses personnes seraient dans l’incapacité de se chauffer. Les cyberattaques basées sur la faille Log4J pourraient donc être classées parmi les Killwares.

Le géant de la cybersécurité Mandiant affirme quant à lui que le gouvernement chinois a déjà commencé à exploiter cette vulnérabilité. Les conséquences pourraient être désastreuses.

Selon Evgeny Lopatin, expert en sécurité chez Kaspersky,  » Ce qui rend cette vulnérabilité particulièrement dangereuse, ce n’est pas seulement le fait que les attaquants peuvent prendre le contrôle total du système, mais aussi la facilité avec laquelle elle peut être exploitée. Même un pirate inexpérimenté peut en tirer parti – et nous constatons déjà que les cybercriminels recherchent activement des logiciels à exploiter avec cette CVE. Cependant, la bonne nouvelle est qu’une solution de sécurité solide peut contribuer à protéger les utilisateurs « 

Les attaques basées sur la faille Log4j se multiplient

Le nombre d’attaques basées sur la faille Log4j est en constante augmentation. Pour cause, de nombreuses entreprises utilisent cette bibliothèque Java et parfois sans même le savoir.

Quelques heures seulement après l’annonce publique de cette vulnérabilité Log4Shell, des criminels scannaient les systèmes et déployaient des malwares. La firme de cybersécurité Check Point annonce avoir empêché 1 270 000 tentatives depuis l’implémentation d’une protection, dont 46% menées par des groupes malveillants connus. Les cybercriminels ont déjà tenté d’exploiter la faille sur 40% des réseaux mondiaux.

Tous les hackers du monde semblent essayer de s’engouffrer dans la brèche. Fort heureusement, le nombre de tentatives réussies est nettement inférieur.

Certaines de ces attaques visent à déployer des malwares de cryptomining. D’autres utilisent l’outil de test de pénétration Cobalt Strike pour dérober des noms d’utilisateurs et des mots de passe.

Une crise de cybersécurité plus grave que SolarWinds

La CISA souligne que cette situation est très différente du dramatique piratage de SolarWinds survenu fin 2020. Cette attaque était ciblée contre la chaîne logistique par un groupe de hackers très avancés dans le but de compromettre des organisations spécifiques et d’atteindre des objectifs précis.

À présent, nous sommes confrontés à une faille extrêmement répandue, facile à exploiter avec de terribles conséquences possibles. Il est hautement probable que des cybercriminels exploitent cette vulnérabilité pour cause de lourds dégâts.

Tout comme SolarWinds, cette faille met néanmoins en lumière les risques liés à l’utilisation d’un élément logiciel par de multiples vendeurs pour des produits déployés auprès de clients du monde entier. La CISA s’inquiète d’un impact sur les fonctions nationales critiques, et appelle la communauté de la cybersécurité à trouver des solutions de toute urgence.

Quels sont les appareils et applications concernés ?

Pour faire simple, n’importe quel appareil connecté à internet est en danger s’il repose sur Apache Log4J en version 2.0 jusqu’à 2.14.1. Précisons que ces versions sont incluses dans les frameworks Apache Struts2, Solr, Druid, Flink et Swift.

Il ne devrait pas y avoir de danger pour les particuliers, mais les entreprises doivent se montrer particulièrement vigilantes. Il n’est malheureusement pas possible de déployer un patch unique pour protéger tous les appareils vulnérables.

La Apache Software Foundation a déployé la version 2.15.0 de Log4j pour combler la faille, mais les vendeurs doivent l’appliquer sur leurs produits. Les utilisateurs finaux devront quant à eux mettre à jour leurs appareils dès que les correctifs seront disponibles.

Plusieurs firmes telles que Amazon Web Services et IBM travaillent sur des patches pour leurs logiciels, afin de combler la faille. Oracle a aussi déployé un patch.

De son côté, Google Cloud inspecte actuellement l’impact de ce bug sur ses produits et services et travaille avec VMware pour déployer des correctifs sur le VMware Engine.

De même, Rapid7 a inspecté l’exposition de ses produits à cette vulnérabilité et déployé des correctifs server-side pour plusieurs produits affectés. Malheureusement, le temps que ces patches soient déployés, les cybercriminels disposeront sans doute de plusieurs mois voire plusieurs années pour exploiter les appareils vulnérables.

Parmi les éditeurs dont les logiciels populaires sont vulnérables, on compte Amazon, Atlassian, Microsoft Azure, Cisco, Commvault, ESRI, Exact, Fortinet, JetBrains, Nelson, Nutanix, OpenMRS, Oracle, Red Hat, Splunk, Soft et VMware.

Comment se protéger contre la faille Log4j ?

Le principal conseil de la CISA pour se protéger est d’identifier les appareils connectés à internet et reposants sur Log4j. Ces appareils doivent être mis à jour vers la version 2.15.0 de toute urgence, ou recevoir les patchs déployés par les vendeurs dans l’immédiat.

L’organisation recommande aussi de mettre en place des alertes en cas d’attaques sur les appareils. Elle appelle à la coopération entre les gouvernements et le secteur privé. Il est vivement conseillé d’installer une application de firewall et de la configurer pour se focaliser sur Log4j.

Afin d’aider à identifier les logiciels vulnérables à cause de Log4j, le National Cyber Security Centrum des Pays-Bas a posté une liste complète sur GitHub et continuera de l’étoffer au fil du temps. La liste indique aussi lorsqu’un correctif est disponible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest