La semaine dernière, une nouvelle vulnérabilité critique particulièrement dangereuse a été découverte dans la bibliothèque Apached Log4j. CVE-2021-44228 ou Log4Shell ou LogJam, est ce que l’on appelle une vulnérabilité de classe RCE (Remote Code Execution), ce qui signifie que si elle est exploitée sur un serveur vulnérable, les attaquants peuvent exécuter du code arbitrairement et potentiellement prendre le contrôle total d’un système. La CVE a été classée 10 sur 10 en termes de gravité.
L’Apache Logging Project (Apache Log4j) est une bibliothèque de logging open-source utilisée par des millions d’applications Java. Tout produit qui utilise une version vulnérable de cette bibliothèque (version 2.0-beta9 à 2.14.1) est sensible à cette nouvelle CVE.
Log4j contient un mécanisme Lookup permettant de chercher des requêtes en utilisant une syntaxe spéciale. En créant un préfixe personnalisé pour cette chaîne de caractères, les attaquants peuvent transférer des informations vers un serveur sous leur contrôle, conduisant à une exécution arbitraire de code ou à une fuite d’informations confidentielles.
“Ce qui rend cette vulnérabilité particulièrement dangereuse, ce n’est pas seulement le fait que les attaquants peuvent prendre le contrôle total du système, mais aussi la facilité avec laquelle elle peut être exploitée. Même un pirate inexpérimenté peut en tirer parti – et nous constatons déjà que les cybercriminels recherchent activement des logiciels à exploiter avec cette CVE. Cependant, la bonne nouvelle est qu’une solution de sécurité solide peut contribuer à protéger les utilisateurs“, commente Evgeny Lopatin, expert en sécurité chez Kaspersky.
Les produits Kasperksy protègent contre les attaques exploitant la vulnérabilité, y compris l’utilisation de PoCs, sous les noms suivants :
UMIDS:Intrusion.Generic.CVE-2021-44228.
PDM:Exploit.Win32.Generic.
Pour se prémunir contre cette nouvelle vulnérabilité, les experts de Kaspersky recommandent :
- D’installer la version la plus récente de la bibliothèque, 2.15.0. si possible. Vous pouvez la télécharger sur la page du projet. En cas d’utilisation de la bibliothèque dans un produit tiers, il est nécessaire de surveiller et d’installer les mises à jour opportunes d’un fournisseur de logiciels.
- Suivre les directives du projet Apache Log4j https://logging.apache.org/log4j/2.x/security.html
- Les entreprises doivent utiliser une solution de sécurité qui fournit des fonctionnalités de prévention des exploits, de gestion des vulnérabilités et des correctifs, comme Kaspersky Endpoint Security for Business. Le composant Automatic Exploit Prevention surveille les actions suspectes des applications et bloque l’exécution des fichiers malveillants.
- Utilisez des solutions qui permettent d’identifier et de stopper l’attaque à un stade précoce, avant que les attaquants n’atteignent leurs objectifs finaux.