Des exploits de preuve de concept pour une vulnérabilité critique du jour zéro dans la bibliothèque de journalisation omniprésente Apache Log4j Java sont actuellement partagés en ligne, exposant les utilisateurs à domicile et les entreprises à des attaques d’exécution de code à distance.
Log4j est développé par la Fondation Apache et est largement utilisé par les applications d’entreprise et les services cloud.
Ainsi, alors que les utilisateurs à domicile sont peut-être passés de Java, tout, des logiciels d’entreprise aux logiciels cloud tels que iCloud et Steam d’Apple, est probablement vulnérable aux exploits RCE ciblant cette vulnérabilité.
Le bug, maintenant suivi comme CVE-2021-44228, est une vulnérabilité RCE non authentifiée permettant une prise de contrôle complète du système, a été rapporté par l’équipe de sécurité d’Alibaba Cloud à Apache le 24 novembre.
Ils ont également révélé que CVE-2021-44228 avait un impact sur les configurations par défaut de plusieurs frameworks Apache, notamment Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres.
Les acteurs de la menace scannent déjà Internet [1, 2] pour les systèmes vulnérables à cette faille de sécurité exploitable à distance qui ne nécessite pas d’authentification.
Activité d’analyse de masse détectée à partir de plusieurs hôtes recherchant des serveurs à l’aide d’Apache Log4j (bibliothèque de journalisation Java) vulnérable à l’exécution de code à distance (https://t.co/GgksMUlf94).
Interrogez notre API pour « tags=CVE-2021-44228 » pour les adresses IP sources et autres IOC. #threatintel
– Mauvais paquets (@bad_packets) 10 décembre 2021
« Comme pour d’autres vulnérabilités très médiatisées telles que Heartbleed et Shellshock, nous pensons qu’il y aura un nombre croissant de produits vulnérables découverts dans les semaines à venir », a déclaré l’équipe d’attaque Randori.
« En raison de la facilité d’exploitation et de l’étendue de l’applicabilité, nous soupçonnons les acteurs des ransomwares de commencer immédiatement à exploiter cette vulnérabilité. »
Lunasec, qui a surnommé la vulnérabilité LogJam, a également souligné la gravité des attaques utilisant les exploits CVE-2021-44228 RCE.
« De très nombreux services sont vulnérables à cet exploit. Des services cloud comme Steam, Apple iCloud et des applications comme Minecraft se sont déjà révélés vulnérables », a déclaré Lunasec.
« Toute personne utilisant Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées dans des violations comme la violation de données Equifax en 2017. »
Alors qu’Apache a publié une version candidate de Log4j (2.15.0-rc1) il y a trois jours, contenant probablement un correctif pour cette faille, les chercheurs en sécurité ont déjà découvert un contournement et recommandent la mise à jour vers la dernière version RC. log4j-2.15.0-rc2.