De temps à autre, nous voyons apparaître de nouveaux exploits qui prouvent à quel point ils peuvent être problématiques entre les mains de personnes mal intentionnées. La situation est encore plus critique lorsqu’il s’agit d’un exploit de type Zero-day. Le dernier exploit en date a été découvert dans la bibliothèque de journalisation Log4j d’Apache. Un exploit de type « proof-of-concept » a été partagé en ligne. Il révèle le véritable potentiel des attaques par exécution de code à distance, et il a affecté certains des plus grands services du web. L’exploit a été identifié comme étant « activement exploité », porte le nom de « Log4Shell » et est l’un des plus dangereux à avoir été rendu public ces dernières années. Il peut affecter pratiquement tout, des appareils Apple aux simples applications et jeux comme Minecraft.
Pour ceux qui l’ignorent, Log4j est un paquet de journalisation populaire basé sur Java. La fondation Apache Software est le développeur qui se cache derrière. Il s’agit d’un correctif CVE-2021-44228 qui affecte toutes les versions de Log4j entre la version 2.0-beta9 et la version 2.14.1. Il a été corrigé dans la version la plus récente de la bibliothèque, la version 2.15.0. Cependant, de nombreux services et applications reposent actuellement sur Log4j. Cela va d’un appareil Apple à des jeux comme Minecraft. Les services de cloud computing tels que Steam et Apple iCloud figurent également sur la liste des personnes vulnérables, et nous supposons que cela vaut également pour tous ceux qui utilisent Apache Struts. Même le changement de nom d’un iPhone est capable de déclencher la vulnérabilité sur les serveurs d’Apple.
A story in three parts 😶 #log4j pic.twitter.com/XMl02BcaJY
— Cas van Cooten (@chvancooten) December 10, 2021
Chen Zhaojun, de l’équipe de sécurité d’Alibaba Cloud, a été le premier à découvrir ce problème. Selon le rapport, tout service qui enregistre des chaînes de caractères contrôlées par l’utilisateur est actuellement vulnérable à l’exploit. L’enregistrement de la chaîne contrôlée par l’utilisateur est une pratique courante des administrateurs système. Elle permet de repérer les abus potentiels de la plate-forme. En outre, ils l’utilisent pour nettoyer les entrées de l’utilisateur et s’assurer qu’il n’y a rien de nuisible pour le logiciel.
Une simple action comme changer le nom de l’iPhone peut déclencher l’exploit Log4Shell
L’exploit porte le nom de « Log4Shell », car il s’agit d’une vulnérabilité RCE non authentifiée qui permet une prise de contrôle totale du système. Il existe déjà un exploit de type « proof-of-concept » en ligne. Il est ridiculement facile de démontrer qu’il fonctionne en utilisant un logiciel de journalisation DNS.
Selon une citation de Bleeping Computer, les acteurs du ransomware vont commencer à exploiter cette vulnérabilité immédiatement. En fait, les acteurs malveillants sont déjà en train de scanner en masse le web pour essayer de trouver des serveurs à exploiter. Cette situation est similaire à d’autres vulnérabilités très médiatisées, notamment Heartbleed et Shellshock. Il convient de noter que, selon LunaSec, certaines versions de Java supérieures à 6u211, 7u201, 8u191 et 11.0.1 sont moins touchées en théorie, bien que les pirates puissent toujours contourner les limitations.
Comme nous l’avons déjà mentionné, on peut simplement déclencher Log4Shell en changeant le nom d’un iPhone. De plus, si une classe Java est ajoutée à la fin de l’URL, cette classe sera injectée dans le processus du serveur.