Vulnérabilité dans Apache Log4j
Risque
Exécution d’un code malveillant sans autorisation préalable.
Versions affectées :
Apache Log4j versions 2.0 à 2.14.1
Apache Log4j versions 1.x (versions obsolètes) : La version 1 de log4j a été initialement déclarée vulnérable cependant la vulnérabilité n’existe que si le composant JMS Appender est configuré pour prendre en compte JNDI. Il s’agit donc d’une configuration très spécifique.
Résumé
Depuis quelques jours le monde de la sécurité informatique est en pleine effervescence. En effet, la dernière menace en date, Log4Shell (faille dans la librairie de log Apache Log4j) qui est utilisée dans de très nombreux package d’application Java/J2EE par des géants de l’internet (Apple, Steam, Minecraft, La Nasa, Oracle, Twitter et bien d’autres ) est d’une ampleur exceptionnelle.
Le score de sévérité CVSS (Common Vulnerability Scoring System) attribué à cet exploit est de 10/10 (critique).
Par ailleurs, la facilité de mise en œuvre de cette faille et les dégâts considérables qu’elle peut produire a motivé la mouvance cybercriminelle pour l’exploiter et celle-ci semble très active.
Documentation éditeur
- Bulletin de sécurité Apache du 09 décembre 2021
- Référence CVE CVE-2021-44228
- Référence CVE CVE-2021-45046
- Référence CVE CVE-2021-4104
- Référence CVE CVE-2021-45105
Solution
Préconisation du CERT-FR :
« Il est fortement recommandé aux utilisateurs d’applications ou de logiciels sur étagère basés sur la technologie Java/J2EE :
- de filtrer et de journaliser les flux sortants des serveurs pour les limiter aux seuls flux autorisés vers des services de confiance.
- de prendre contact avec le développeur ou l’éditeur pour vérifier s’ils sont exposés à cette vulnérabilité et si un correctif est disponible.
Il est fortement recommandé aux développeurs/éditeurs d’utiliser la version 2.15.0 ou ultérieure et de fournir une nouvelle version de leur logiciel dans les plus brefs délais.
Une nouvelle version 2.16.0 a été publiée le 13 décembre. Elle complète la correction en désactivant le JNDI et la fonction de Lookup, qui doivent désormais être explicitement activées.
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation éditeur). »
Outils
Liens utiles
- Restrict LDAP access via JNDI
- Log4j overview related software
- Scénario pour détecter et bloquer les tentatives d’exploitation de la vulnérabilité de Log4j avec Crowdsec
- Adresses IP recensées qui tentent d’exploiter la faille – Crowdsec
- Le mode Replay – Crowdsec
- Le site web de Crowdsec
- Suivi en direct de la menace mondiale Log4J