Le chercheur en sécurité informatique Chen ZHAOJUN a découvert le 10 décembre 2021 la faille CVE-2021-44228. Identifiée dans la bibliothèque Java « log4J », cette dernière est utilisée pour enregistrer les évènements d’autres logiciels (enregistrer toutes les requêtes d’un site web par exemple).
Log4J est certainement la bibliothèque de journalisation la plus utilisée (Apple, Tesla, Amazon, Google, Steam, …)
Cette vulnérabilité permet une connexion non souhaité au travers de l’interface Java Naming and Directory Interface. Il s’agit d’un programme (API Java) qui s’interface avec des annuaires LDAP.
L’exploitation de cette faille consiste à injecter une payload (application auto-executable) ) qui va demander à Log4J d’aller chercher une valeur issue d’une source tierce au travers de LDAP et/ou DNS et ainsi peut donner le contrôle de l’annuaire LDAP interfacé.
La fondation Apache à toutefois proposé rapidement un patch correctif.
Dans le cas où la mise à jour de log4J vers une version 2.15.0 ou supérieur est impossible, des solutions de contournements existent :
Pour les applications utilisant les version 2.10.0 et ultérieurs de la bibliothèque log4j, il est également possible de se prémunir contre toute attaque en modifiant le parametre de configuration log4j2.formatMsgNoLookups=true
Une autre alternative consiste à supprimer la classe JndiLookup dans le paramètre classpatch pour élimer le vecteur principal d’attaque en sachant que els chercheurs n’excluent pas l’existence d’un autre vecteur d’attaque)
Il est également possible d’exploiter la vulnérabilité log4shell elle-même pour la patcher.
Écrit par – Frédéric KEMPF
Les obligations légales liées à la sauvegarde des données en vertu du RGPD La protection des données personnelles est une préoccupation croissante à l’ère numérique.
Intune – Nouvelles options disponibles pour le déploiement des mises à jour de fonctionnalités En allant faire un tour ces derniers jours dans la console