Des chercheurs de la société de cybersécurité Cybereason ont publié un « vaccin » qui peut être utilisé pour atténuer à distance la vulnérabilité critique d’exécution de code Apache Log4j « Log4Shell » qui sévit sur Internet.
Apache Log4j est une plate-forme de journalisation basée sur Java qui peut être utilisée pour analyser les journaux d’accès au serveur Web ou les journaux d’application. Le logiciel est largement utilisé dans l’entreprise, les plates-formes de commerce électronique et les jeux, tels que Minecraft qui a publié une version corrigée plus tôt dans la journée.
Tôt ce matin, les chercheurs ont publié un exploit de preuve de concept pour une vulnérabilité d’exécution de code à distance zero-day dans Apache Log4j, suivi comme CVE-2021-44228 et surnommé « Log4Shell ».
Alors qu’Apache a rapidement publié Log4j 2.15.0 pour résoudre la vulnérabilité, la vulnérabilité est triviale à exploiter, et les entreprises et chercheurs en cybersécurité a rapidement vu les attaquants scanner et tenter de compromettre les appareils vulnérables.
Comme les acteurs de la menace peuvent exploiter cette vulnérabilité en modifiant simplement l’agent utilisateur de leur navigateur Web et en visitant un site vulnérable ou en recherchant cette chaîne sur un site, cela est rapidement devenu un cauchemar pour l’entreprise et certains des sites Web les plus populaires du Web.
Vaccin publié pour Log4Shell
Vendredi soir, la société de cybersécurité Cybereason a publié un script, ou « vaccin », qui exploite la vulnérabilité pour désactiver un paramètre dans une instance Log4Shell distante et vulnérable. Fondamentalement, le vaccin corrige la vulnérabilité en exploitant le serveur vulnérable.
Ce projet s’appelle « Logout4Shell » et vous guide à travers la configuration d’un serveur LDAP basé sur Java et comprend une charge utile Java qui désactivera le paramètre « trustURLCodebase » dans un serveur Log4j distant pour atténuer la vulnérabilité.
« Bien que la meilleure atténuation contre cette vulnérabilité consiste à corriger log4j vers 2.15.0 et versions ultérieures, dans la version Log4j (>=2.10), ce comportement peut être atténué en définissant la propriété système log4j2.formatMsgNoLookups sur true ou en supprimant la classe JndiLookup du chemin de classe , explique Cybereason sur le Page Logout4Shell GitHub.
« De plus, si le serveur a des runtimes Java >= 8u121, alors par défaut, les paramètres com.sun.jndi.rmi.object.trustURLCodebase et com.sun.jndi.cosnaming.object.trustURLCodebase sont définis sur « false », atténuant ce risque.
Cela peut sembler être un outil utile pour neutraliser rapidement la vulnérabilité dans un environnement que vous gérez. Pourtant, il existe des inquiétudes évidentes que les acteurs de la menace ou les pirates informatiques au chapeau gris le cooptent pour un comportement illégal.
Il est courant que des acteurs malveillants pénètrent dans un appareil et corrigent des vulnérabilités pour empêcher d’autres pirates de s’emparer d’un serveur compromis.
On craint également que les chercheurs en sécurité utilisent la vulnérabilité pour réparer les serveurs à distance, même si faire quelque chose comme cela est considéré comme illégal.
Cependant, cela n’a pas empêché les chapeaux gris d’utiliser des exploits pour mettre hors ligne des appareils vulnérables. Dans le passé, nous avons vu le malware BrickerBot mettre hors ligne des routeurs vulnérables, et Gray déteste exploiter les imprimantes connectées à Internet pour émettre des avertissements afin de les mettre hors ligne.
Lorsque nous avons demandé à Cybereason s’ils craignaient que leur projet Logout4Shell ne soit abusé, le directeur technique de Cybereason, Yonatan Striem-Amit, a déclaré à EZpublish-france.fr qu’ils pensaient que les avantages l’emportent sur le potentiel d’abus dans cette situation.
Bien que toujours possible, il s’agit d’un problème de risque calculé. Cette vulnérabilité est si critique et déjà massivement exploitée sur Internet, nous nous sommes sentis obligés d’offrir quelque chose pour aider les défenseurs du monde entier à gagner un temps précieux contre ces pirates.
Du point de vue de l’impact, c’est très similaire à la vulnérabilité Apache Struts qui a été utilisée pour voler des informations à Equifax en mai-juillet 2017. » – Yonatan Striem-Amit, CTO et co-fondateur, Cybereason.
Si vous souhaitez essayer Logout4Shell, vous pouvez visiter le la page GitHub du projet.