Minecraft et de nombreuses autres applications victimes d’une vulnérabilité critique

0

Une faille Zero Day critique a été identifiée dans Apache Log4j par un membre de l’équipe sécurité d’Alibaba Cloud. Cette vulnérabilité permet  à des attaquants de réaliser des attaques d’exécution de code à distance.

Tribune – D’après le CERT de Nouvelle-Zélande (CERT-NZ), cette vulnérabilité serait déjà exploitée par des attaquants.

Ci-dessous les commentaires de Kayla Underkoffler, Senior Security Technologist chez HackerOne.

Commentaire technique :

« La vulnérabilité Zero Day de Log4j exploite une combinaison de faiblesses : Consommation incontrôlée de ressources (CWE-400) ; Validation incorrecte des entrées (CWE-20) ; Désérialisation de données non fiables (CWE-502). Le résultat est une puissante vulnérabilité d’exécution de code à distance. Il est intéressant de noter que la plateforme HackerOne a vu une augmentation de 92 % des rapports de validation d’entrée incorrecte de la part des hackers éthiques en 2021, mais les rapports pour la désérialisation de données non fiables sont moins fréquents. Lorsqu’un attaquant prend le contrôle de LDAP et/ou d’autres dispositifs JNDI, l’exploitation de ce Zero Day permet à l’attaquant de manipuler les messages de journal et/ou les paramètres des messages de journal pour exécuter du code arbitraire à partir des serveurs LDAP. Pour remédier à cette vulnérabilité, les entreprises doivent mettre à jour Log4j à la version 2.15.0. »

Commentaire général :

« Cette faille Zero Day démontre que les logiciels open source occupent une place de plus en plus importante au sein des surfaces d’attaque de type supply chain les plus critiques. Les logiciels open source constituent le fondement de presque toutes les infrastructures numériques modernes, sachant que la moyenne des applications utilisent 528 composants open source différents. La majorité des vulnérabilités open source de niveau critique découvertes en 2020 étaient présentes dans le code depuis plus de deux ans et la plupart des organisations ne sont pas en mesure de corriger facilement les failles des logiciels open source au sein des supply chain. Il est impératif de sécuriser ces logiciels souvent mal financés a fortiori pour toute organisation qui en dépend fortement. C’est pourquoi l’Internet Bug Bounty a été créé ; sa mission est de sécuriser les logiciels libres en regroupant les fonds des partenaires commerciaux pour encourager la découverte et le signalement des vulnérabilités des projets de logiciels libres avant qu’elles ne soient exploitées. En finançant la recherche, les organisations bénéficient de la possibilité d’accroître leur capacité à améliorer la sécurité des logiciels libres . »

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.