Apparemment, le patch pour la première vulnérabilité était incomplet !!!

Une deuxième vulnérabilité impliquant Apache Log4j a été découverte mardi après que les experts en cybersécurité aient passé des jours à tenter de corriger ou d'atténuer CVE-2021-44228.

La description de la nouvelle vulnérabilité, CVE 2021-45046, indique que la correction de la CVE-2021-44228 dans Apache Log4j 2.15.0 était incomplète dans certaines configurations non par défaut. Ce qui pourrait permettre aux attaquants de créer des entrées malveillantes à l'aide d'un modèle JNDI Lookup, ce qui entraînerait une attaque par déni de service (DOS) CVE.

Apache a déjà publié un correctif, Log4j 2.16.0, pour ce problème. Le CVE indique que Log4j 2.16.0 corrige le problème en supprimant la prise en charge des modèles de consultation des messages et en désactivant la fonctionnalité JNDI par défaut. Apache note que le problème peut être atténué dans les versions antérieures en supprimant la classe JndiLookup du classpath.

John Bambenek, principal chasseur de menaces chez Netenrich, a déclaré que la solution consiste à désactiver entièrement la fonctionnalité JNDI (ce qui est le comportement par défaut dans la dernière version).

La faille initiale de Log4j, qui est une bibliothèque Java permettant de consigner les messages d'erreur dans les applications, a dominé l'actualité depuis la semaine dernière. Les exploitations ont commencé le 1er décembre, selon Cloudflare, et une première alerte lancée par le CERT de Nouvelle-Zélande en a suscité d'autres par le CISA (Guide) et le Centre national de cybersécurité du Royaume-Uni. Le Centre national de cybersécurité des Pays-Bas a également publié une longue liste de logiciels affectés par cette vulnérabilité.

De nombreuses organisations subissent déjà des attaques exploitant cette vulnérabilité ; la plateforme de sécurité Armis a déclaré qu'elle avait détecté des tentatives d'attaque de log4shell chez plus d'un tiers de ses clients (35 %). Les attaquants ciblent les serveurs physiques, les serveurs virtuels, les caméras IP, les dispositifs de fabrication et les systèmes de présence. Et étant donné qu'au moins une douzaine de groupes malveillants profitent de ces vulnérabilités, des mesures immédiates doivent être prises pour patcher, supprimer JNDI ou le retirer du classpath (de préférence tout cela à la fois).