Certains articles de veille peuvent faire l'objet de traduction automatique.
Une vulnérabilité dans une bibliothèque de journalisation largement utilisée est devenue un véritable effondrement de la sécurité, affectant les systèmes numériques sur Internet. Les pirates tentent déjà de l’exploiter, mais même si des correctifs apparaissent, les chercheurs avertissent que la faille pourrait avoir de graves répercussions dans le monde entier.
Le problème réside dans Log4j, un framework de journalisation Apache open source omniprésent que les développeurs utilisent pour conserver un enregistrement de l’activité au sein d’une application. Les intervenants de sécurité se démènent pour corriger le bogue, qui peut être facilement exploité pour prendre le contrôle à distance des systèmes vulnérables. Dans le même temps, les pirates recherchent activement sur Internet les systèmes concernés. Certains ont déjà développé des outils qui tentent automatiquement d’exploiter le bogue, ainsi que des vers qui peuvent se propager indépendamment d’un système vulnérable à un autre dans les bonnes conditions.
Log4j est une bibliothèque Java, et bien que le langage de programmation soit moins populaire auprès des consommateurs de nos jours, il est toujours très largement utilisé dans les systèmes d’entreprise et les applications Web. Les chercheurs ont déclaré à WIRED vendredi qu’ils s’attendaient à ce que de nombreux services grand public soient affectés.
Par exemple, propriété de Microsoft Minecraft le vendredi posté des instructions détaillées sur la façon dont les joueurs de la version Java du jeu doivent corriger leurs systèmes. « Cet exploit affecte de nombreux services, y compris Minecraft Java Edition », lit-on dans le message. « Cette vulnérabilité présente un risque potentiel de compromission de votre ordinateur. » Le PDG de Cloudflare, Matthew Prince tweeté Vendredi que le problème était « si grave » que la société d’infrastructure Internet essaierait de déployer au moins une certaine protection même pour les clients sur son niveau de service gratuit.
Tout ce qu’un attaquant doit faire pour exploiter le défaut envoie stratégiquement une chaîne de code malveillant qui est finalement enregistrée par Log4j version 2.0 ou supérieure. L’exploit permet à un attaquant de charger du code Java arbitraire sur un serveur, ce qui lui permet de prendre le contrôle.
« C’est un échec de conception aux proportions catastrophiques », déclare Free Wortley, PDG de la plate-forme de sécurité des données open source LunaSec. Chercheurs de l’entreprise publié un avertissement et évaluation initiale de la vulnérabilité Log4j jeudi.
Minecraft des captures d’écran circulant sur les forums semblent montrer des joueurs exploitant la vulnérabilité du Minecraft fonction de chat. Vendredi, certains utilisateurs de Twitter ont commencé à modifier leurs noms d’affichage en chaînes de code susceptibles de déclencher l’exploit. Un autre utilisateur changé son nom d’iPhone faire de même et a soumis les conclusions à Apple. Les chercheurs ont déclaré à WIRED que l’approche pourrait également fonctionner en utilisant le courrier électronique.
Agence américaine de cybersécurité et de sécurité des infrastructures a émis une alerte sur la vulnérabilité vendredi, comme l’a fait CERT australien. L’organisation gouvernementale de cybersécurité de la Nouvelle-Zélande alerte a noté que la vulnérabilité serait activement exploitée.
« C’est assez mauvais, » dit Wortley. « Tant de gens sont vulnérables, et c’est si facile à exploiter. Il y a quelques facteurs atténuants, mais ceci étant le monde réel, il y aura de nombreuses entreprises qui ne sont pas sur les versions actuelles qui se démènent pour résoudre ce problème.
Apache évalue la vulnérabilité à la gravité « critique » et publié correctifs et atténuations vendredi. L’organisation affirme que Chen Zhaojun de l’équipe de sécurité du cloud d’Alibaba a d’abord révélé la vulnérabilité.
Poster un commentaire