Apache log4j : une vulnérabilité qui pourra vite tourner au cauchemar
Cette vulnérabilité permet l’exécution de code à distance sur les systèmes affectés. Et ils sont susceptibles d’être très nombreux. De quoi justifier ce qui ressemble à un vent de panique soufflant sur Internet.
[Mise à jour le 13/12/2021 @ 18h20] Les travaux autour de la vulnérabilité désormais appelée Log4Shell ont continué à un rythme soutenu durant le week-end. Nous en avons synthétisé l'essentiel dans un nouvel article.
[Article original] Les alertes se sont multipliées rapidement : une très sévère vulnérabilité affecte Log4j, des versions 2.0 beta 9 à 2.14.1, la CVE-2021-44228. La mise à jour 2.15.0 la corrige.
Log4j est une librairie conçue pour la journalisation d’activités. Gérée par la fondation Apache, elle est très largement utilisée dans les applications Java d’entreprise et les services cloud. Selon les équipes de sécurité d’Alibaba Cloud, Struts2, Solr, Druid, ou encore Flink sont affectés, notamment.
Surtout, un démonstrateur d’exploitation de la vulnérabilité est disponible. Et les activités de recherche de systèmes affectés exposés sur Internet ont commencé. Le CERT de Deutsche Telekom, notamment, a lui-même fait état de tentatives d’exploitation sur ses pots de miel.
Les acteurs affectés semblent particulièrement nombreux. Parmi eux, il faudrait compter avec Apple, Steam ou encore Twitter, mais également Tesla ou Amazon. Mais il apparaît probable que ceux-ci ont réagi rapidement, à l’instar de Cloudflare. Ce dernier indique avoir établi trois règles de pare-feu applicatif Web bloquant l’exploitation de la vulnérabilité.