Une sérieuse faille a été découverte dans Apache Log4j, qui est activement abusée. L’outil open source est beaucoup utilisé dans les applications web et toutes sortes d’autres systèmes.
Plusieurs autorités de sécurité, dont le CERT belge et le NCSC néerlandais, mettent en garde contre d’importants dommages potentiels et recommandent donc d’installer dans les plus brefs délais les updates mises à disposition par Apache.
‘On observe un comportement de scannage actif aux Pays-Bas et on s’attend à brève échéance à ce que soit abusée la faille qui a entre-temps été baptisée Log4shell. Le NCSC contrôle minutieusement la situation et invite les utilisateurs à tenir son site web à l’oeil pour trouver davantage d’informations et de mises à jour. Si l’utilisateur n’est pas certain que son organisation utilise Apache Log4j, il doit se renseigner auprès de son fournisseur de logiciels”, indique le NCSC. Chez le CCB belge, on conseille également d’actualiser le plus rapidement possible toutes les instances utilisant Log4j vers la version 2.15.0
Que se passe-t-il concrètement?
La faille permet à des pirates d’abuser à distance des droits de serveurs web, ce qui génère potentiellement de sérieux dommages. Pour colmater cette brèche, le NCSC a émis un avis de sécurité HIGH/HIGH: le risque d’abus à court terme et les dommages potentiels sont élevés.
Comme le blogueur technologique Herman Maes l’explique en termes simples: ‘En modifiant votre nom dans une application, vous pouvez prendre le contrôle complet de cette dernière.’ Sur son blog, il cite plusieurs exemples, mais aussi comment tester si une application est susceptible d’être abusée.
Dans la pratique, le bug est exploitable en saisissant comme nom d’utilisateur un fragment de code avec URL dans le serveur d’attaque. Log4j traitera l’input – à des fins de contrôle -, mais exécutera aussi le code, ce qui fait que l’application dans laquelle il se trouve, pourra être abusée.
Des produits VMware et Cisco également vulnérables
L’impact de cette faille est très grand, selon Erik Westhovens, CSI & security architect chez Insight: ‘Apache Log4j est par exemple utilisé dans divers produits de VMware tels vCenter. Avec un code d’exploitation qui se propage rapidement via internet, les attaquants sont capables en quelques minutes de prendre le contrôle de l’ensemble de vCenter et ont alors accès à tous les systèmes gérés avec ce dernier. Il n’existe pas encore de liste complète de logiciels touchés par cette faille, mais dans le monde de la cyber-sécurité, c’est actuellement le code noir qui prévaut.’
VMware a dès aujourd’hui mis à disposition de la documentation pour ses produits. Dans certains cas, il existe déjà un correctif, alors que dans d’autres, il y a une solution de rechange ou en cours de préparation. Cisco dispose aussi d’un security advisory pour le problème touchant ses produits.
Comment le découvrir et le contrer?
Il existe des possibilités de détection des abus en effectuant une recherche dans l’enregistrement (‘logging’). La firme de cyber-sécurité Northwave a mis à disposition un outil permettant de vérifier si un serveur est vulnérable. Le NCSC se réfère ici à l’avertissement dans le texte d’accompagnement.
Apache Log4j est très largement utilisé dans les petites et grandes entreprises tant nationales qu’internationales. La façon dont cette faille peut être abusée, est aujourd’hui publiquement connue. Etant donné la grande attention qui y est accordée, le NCSC s’attend à ce que des méthodes d’abus soient mises au point à l’avenir. Il convient par conséquent d’installer le plus rapidement possible les mises à jour.
La firme de sécurité Cybereason introduit à présent un ‘vaccin’ pour ce problème. Elle distribue du code qui, selon elle, exploite le bug Log4j pour isoler l’outil contre tout abus.
Abusé depuis deux semaines
Maintenant que la faille est connue, davantage d’informations se manifestent à propos de son abus. Matthew Prince, le CEO de Cloudflare, déclarait le week-end dernier sur Twitter que son entreprise avait le 1er décembre déjà découvert les premières tentatives d’abus de Log4j. ‘C’est neuf jours avant que cela ait été annoncé publiquement’, disait-il, tout en ajoutant qu’un abus à grande échelle n’avait été découvert qu’une fois cette annonce faite.
Sophos signale entre-temps que la faille a déjà été abusée par des crypto-extracteurs. On a même découvert quelques abus amusants. C’est ainsi que le Néerlandais Cas van Cooten a réussi à en abuser en changeant son iPhone de nom, alors qu’un autre utilisateur a modifié ainsi un serveur Minecraft en un autre faisant tourner Doom.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici