Zero-day dans l’outil omniprésent Log4j constitue une grave menace pour Internet


Zero-day dans l'outil omniprésent Log4j constitue une grave menace pour Internet

Getty Images

Un code d’exploitation a été publié pour une grave vulnérabilité d’exécution de code dans Log4j, un utilitaire de journalisation open source utilisé dans d’innombrables applications, y compris celles utilisées par les grandes entreprises, ont rapporté plusieurs sites Web jeudi dernier.

Le mot de la vulnérabilité a été révélé pour la première fois sur des sites destinés aux utilisateurs de Minecraft, le jeu le plus vendu de tous les temps. Les sites ont averti que les pirates pourraient exécuter du code malveillant sur des serveurs ou des clients exécutant la version Java de Minecraft en manipulant les messages de journal, y compris à partir d’éléments saisis dans les messages de discussion. L’image est devenue encore plus désastreuse au fur et à mesure que log4j a été identifié comme la source de la vulnérabilité, et un code d’exploitation a été découvert mis en ligne.

Une grosse affaire

“Le Minecraft côté semble être une tempête parfaite, mais je soupçonne que nous allons voir les applications et les appareils affectés continuer à être identifiés pendant longtemps », a déclaré HD Moore, fondateur et directeur technique de la plate-forme de découverte de réseau Rumble. « C’est un gros problème pour les environnements liés aux anciens environnements d’exécution Java : frontaux Web pour diverses appliances réseau, environnements d’applications plus anciens utilisant des API héritées et Minecraft serveurs, en raison de leur dépendance vis-à-vis des anciennes versions pour la compatibilité des mods.

Des rapports font déjà surface sur des serveurs performants Analyses à l’échelle d’Internet dans les tentatives de localiser les serveurs vulnérables.

Log4j est intégré à une multitude de frameworks populaires, notamment Apache Struts2, Apache Solr, Apache Druid et Apache Flink. Cela signifie qu’un nombre vertigineux d’applications tierces peuvent également être vulnérables aux exploits de la même gravité élevée que ceux menaçant Minecraft utilisateurs.

Au moment où cet article a été publié, la vulnérabilité n’était pas très connue. L’une des rares premières sources à fournir un numéro de suivi de la vulnérabilité était Github, qui a déclaré qu’il s’agissait CVE-2021-44228. La société de sécurité Cyber ​​Kendra a signalé jeudi soir une Log4j RCE Zéro jour abandonné sur Internet et a convenu avec Moore qu’« il existe actuellement de nombreux systèmes populaires sur le marché qui sont affectés ».

La Fondation Apache n’a pas encore divulgué la vulnérabilité et ses représentants n’ont pas répondu à un e-mail. Cette page Apache reconnaît la récente correction d’une grave vulnérabilité. Moore et d’autres chercheurs ont déclaré que le bogue de désérialisation Java provenait de Log4j faisant des requêtes réseau via le JNDI à un LDAP serveur et exécuter tout code renvoyé. Le bogue est déclenché à l’intérieur des messages de journal avec l’utilisation de la syntaxe ${}.

Rapports supplémentaires de la société de sécurité LunaSec mentionné que les versions de Java supérieures à 6u211, 7u201, 8u191 et 11.0.1 sont moins affectées par ce vecteur d’attaque, du moins en théorie, car le JNDI ne peut pas charger de code distant à l’aide de LDAP. Les pirates peuvent toujours contourner ce problème en tirant parti des classes déjà présentes dans l’application cible. Le succès dépendra de la présence de gadgets dangereux dans le processus, ce qui signifie que les nouvelles versions de Java peuvent toujours empêcher l’exécution de code, mais uniquement en fonction des spécificités de chaque application.

LunaSec a ajouté que les services cloud de Steam et Apple iCloud ont également été trouvé être affecté. Les chercheurs de l’entreprise ont également souligné qu’une vulnérabilité de gravité élevée différente dans les entretoises a conduit à la compromis 2017 d’Equifax, qui a divulgué des détails sensibles à plus de 143 millions de consommateurs américains.

Cyber ​​Kendra a déclaré qu’en novembre, l’équipe de sécurité d’Alibaba Cloud avait révélé une vulnérabilité dans Log4j2, le successeur de Log4j, qui provenait de fonctions d’analyse récursive, que les attaquants pourraient exploiter en créant des requêtes malveillantes déclenchant l’exécution de code à distance. La firme a fortement exhorté les gens à utiliser la dernière version de Log4j2 disponible ici.

Ce que cela signifie pour Minecraft

Le forum de jeu Spigot mentionné cette Minecraft les versions 1.8.8 à la version 1.18 la plus récente sont toutes vulnérables, tout comme d’autres serveurs de jeux populaires tels que Wynncraft. Serveur de jeux et site d’actualités Hypixel, quant à lui, exhorté Minecraft joueurs faire très attention.

« La question peut permettre accès à distance à votre ordinateur via les serveurs auxquels vous vous connectez», ont écrit les représentants du site. “Cela signifie que tout serveur public sur lequel vous vous rendez crée un risque d’être piraté.”

Reproduire les exploits de cette vulnérabilité dans Minecraft ne sont pas simples car le succès ne dépend pas seulement de la Minecraft version en cours d’exécution mais aussi sur la version du framework Java le Minecraft l’application s’exécute au-dessus de. Il semble que les anciennes versions de Java aient moins de protections de sécurité intégrées qui facilitent les exploits.

Le vendredi, Minecraft déployé un nouvelle version du jeu qui corrige la vulnérabilité.

“Nous sommes au courant des discussions récentes concernant une exploitation publique d’une vulnérabilité d’exécution de code à distance Log4j affectant divers produits Apache à l’échelle de l’industrie”, a déclaré Microsoft dans un communiqué. « Nous avons pris des mesures pour assurer la sécurité et la protection de nos clients, ce qui inclut le déploiement d’un correctif qui bloque ce problème pour Java Edition 1.18.1. Les clients qui appliquent le correctif sont protégés. »

Pour ceux qui ne peuvent pas installer le correctif tout de suite, Spigot et d’autres sources ont déclaré que l’ajout du drapeau JVM -Dlog4j2.formatMsgNoLookups=true neutralise la menace pour la plupart des versions Java. Spigot et de nombreux autres services ont déjà inséré le drapeau dans les jeux qu’ils mettent à la disposition des utilisateurs.

Pour ajouter le drapeau, les utilisateurs doivent accéder à leur lanceur, ouvrir l’onglet Installations, sélectionner l’installation en cours d’utilisation et cliquer sur “…” > “Modifier” > “PLUS D’OPTIONS”, et coller -Dlog4j2.formatMsgNoLookups=true à la fin des drapeaux JVM.

Pour le moment, les utilisateurs doivent prêter une attention particulière à cette vulnérabilité et à son potentiel de déclencher des attaques à fort impact contre une grande variété d’applications et de services. Pour Minecraft utilisateurs, cela signifie éviter les serveurs inconnus ou les utilisateurs non dignes de confiance. Pour les utilisateurs de logiciels open source, cela signifie vérifier s’il s’appuie sur Log4j ou Log4j2 pour la journalisation. C’est une histoire de rupture. Des mises à jour suivront si plus d’informations sont disponibles.





Source link