Apache Software Foundation a publié des correctifs pour contenir une vulnérabilité de type "zero-day" activement exploitée qui affecte la bibliothèque de journalisation Java Apache Log4j largement utilisée et qui pourrait être utilisée pour exécuter du code malveillant et permettre une prise de contrôle complète des systèmes vulnérables.

Log4j est utilisé comme paquet de journalisation dans une variété de logiciels populaires différents par un certain nombre de fabricants, y compris Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, et des jeux vidéo tels que Minecraft. Dans le cas de ce dernier, les attaquants ont pu obtenir un RCE sur les serveurs Minecraft en collant simplement un message spécialement conçu dans la boîte de discussion.

Repéré sous le nom de CVE-2021-44228 et sous les surnoms de Log4Shell ou LogJam, le problème concerne un cas d'exécution de code à distance (RCE) non authentifiée sur toute application utilisant l'utilitaire open-source et affecte les versions Log4j 2.0-beta9 jusqu'à 2.14.1. Le bug a obtenu un score parfait de 10 sur 10 dans le système d'évaluation CVSS, ce qui témoigne de sa sévérité.

La Fondation Apache à déclarer dans son avis qu'un attaquant qui peut contrôler les messages de journal ou les paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée, et que depuis Log4j 2.15.0, ce comportement a été désactivé par défaut. L'exploitation peut être réalisée par une seule chaîne de texte, qui peut déclencher une application pour atteindre un hôte externe malveillant si elle est enregistrée via l'instance vulnérable de Log4j, accordant effectivement à l'adversaire la possibilité de récupérer une charge utile sur un serveur distant et de l'exécuter localement. Les responsables du projet ont attribué la découverte du problème à Chen Zhaojun, de l'équipe de sécurité d'Alibaba Cloud.

La vulnérabilité zero-day d'Apache Log4j est probablement la vulnérabilité la plus critique que nous ayons vue cette année. Les entreprises de cybersécurité BitDefender, Cisco Talos, Huntress Labs et Sonatype ont toutes confirmé des preuves d'un balayage massif des applications affectées dans la nature à la recherche de serveurs vulnérables et d'attaques enregistrées contre leurs réseaux de pots de miel suite à la disponibilité d'un exploit de preuve de concept (PoC).

Enfin, en raison de sa criticité, les systèmes vulnérables utilisant apache log4j doivent être corrigés immédiatement pour atténuer toute risque.