Getty Images
Un code d’exploitation a été publié pour une grave vulnérabilité d’exécution de code dans Log4j, un utilitaire de journalisation open source utilisé dans d’innombrables applications, y compris celles utilisées par les grandes entreprises et également dans les versions Java de Minecraft, ont rapporté plusieurs sites Web jeudi dernier.
Le mot de la vulnérabilité a été révélé pour la première fois sur des sites destinés aux utilisateurs de Minecraft, le jeu le plus vendu de tous les temps. Les sites ont averti que les pirates pouvaient exécuter du code malveillant sur les serveurs ou les clients Minecraft en manipulant les messages de journal, y compris à partir d’éléments saisis dans les messages de discussion. L’image devenait encore plus désastreuse à mesure que le log4j a été identifié comme la source de la vulnérabilité et un code d’exploitation a été découvert mis en ligne.
Une grosse affaire
« Le côté Minecraft semble être une tempête parfaite, mais je soupçonne que nous allons voir les applications et les appareils affectés continuer à être identifiés pendant longtemps », a déclaré HD Moore, fondateur et directeur technique de la plate-forme de découverte de réseau Rumble. « C’est un gros problème pour les environnements liés à des environnements d’exécution Java plus anciens : des frontaux Web pour diverses appliances réseau, des environnements d’applications plus anciens utilisant des API héritées et des serveurs Minecraft, en raison de leur dépendance vis-à-vis des anciennes versions pour la compatibilité des mods. »
Il existe déjà des serveurs de rapports exécutant Analyses à l’échelle d’Internet dans les tentatives de localiser les serveurs vulnérables.
@GreyNoise voit actuellement 2 adresses IP uniques analyser Internet pour la nouvelle vulnérabilité Apache Log4j RCE (pas encore de CVE attribué).
Une balise pour suivre cette activité sur https://t.co/QckU3An40q sera disponible sous peu et lié en tant que réponse lors de sa publication.— remy🐀 (@_mattata) 10 décembre 2021
Log4j est intégré à une multitude de frameworks populaires, notamment Apache Struts2, Apache Solr, Apache Druid et Apache Flink. Cela signifie qu’un nombre vertigineux d’applications tierces peuvent également être vulnérables aux exploits qui présentent la même gravité élevée que ceux qui menacent les utilisateurs de Minecraft.
Au moment où cet article a été publié, la vulnérabilité n’était pas très connue. L’une des seules sources à fournir un numéro de suivi pour la vulnérabilité était Github, qui a déclaré qu’il s’agissait CVE-2021-44228. La société de sécurité Cyber Kendra a signalé jeudi soir une Log4j RCE Zéro jour abandonné sur Internet et a convenu avec Moore qu’« il existe actuellement de nombreux systèmes populaires sur le marché qui sont affectés ».
Cyber Kendra a déclaré qu’en novembre, l’équipe de sécurité d’Alibaba Cloud avait révélé une vulnérabilité dans Log4j2, le successeur de Log4j, qui provenait de fonctions d’analyse récursive, que les attaquants pourraient exploiter en créant des requêtes malveillantes déclenchant l’exécution de code à distance. La firme a fortement exhorté les gens à utiliser la dernière version de Log4j2 disponible ici.
Rapports supplémentaires de la société de sécurité LunaSec dit que les services cloud de Steam et Apple iCloud ont également été trouvé être vulnérable. Les chercheurs de l’entreprise ont également souligné qu’une vulnérabilité de gravité élevée différente dans les entretoises a conduit à la compromis 2017 d’Equifax, qui a divulgué des détails sensibles à plus de 143 millions de consommateurs américains.
La publication LunaSec a également fourni des exemples de code vulnérable et les étapes impliquées dans un exploit.
La Fondation Apache n’a pas encore divulgué la vulnérabilité, bien que cette page reconnaît la récente correction d’une grave vulnérabilité. Les représentants de la Fondation Apache n’ont pas répondu à un e-mail.
Ce que cela signifie pour Minecraft
Le forum de jeu Spigot mentionné que les versions 1.8.8 de Minecraft à la version 1.18 la plus récente sont toutes vulnérables, tout comme d’autres serveurs de jeux populaires tels que Wynncraft. Serveur de jeux et site d’actualités Hypixel, quant à lui, a exhorté les joueurs de Minecraft faire très attention.
« La question peut permettre accès à distance à votre ordinateur via les serveurs auxquels vous vous connectez», ont écrit les représentants du site. « Cela signifie que tout serveur public sur lequel vous vous rendez crée un risque d’être piraté. »
La reproduction des exploits pour cette vulnérabilité dans Minecraft n’est pas simple car le succès dépend non seulement de la version de Minecraft en cours d’exécution, mais également de la version du framework Java sur lequel l’application Minecraft s’exécute. Il semble que les anciennes versions de Java aient moins de protections de sécurité intégrées qui facilitent les exploits.
Spigot et d’autres sources ont déclaré que l’ajout du drapeau JVM -Dlog4j2.formatMsgNoLookups=true neutralise la menace pour la plupart des versions Java. Spigot et de nombreux autres services ont déjà inséré le drapeau dans les jeux qu’ils mettent à la disposition des utilisateurs.
Pour ajouter le drapeau, les utilisateurs doivent aller dans leur lanceur, ouvrir l’onglet Installations, sélectionner l’installation en cours d’utilisation et cliquer sur « … » > « Modifier » > « PLUS D’OPTIONS », et coller -Dlog4j2.formatMsgNoLookups=true à la fin des drapeaux JVM.
Pour le moment, les utilisateurs doivent prêter une attention particulière à cette vulnérabilité et à son potentiel de déclencher des attaques à fort impact contre une grande variété d’applications et de services. Pour les utilisateurs de Minecraft, cela signifie éviter les serveurs inconnus ou les utilisateurs non dignes de confiance. Pour les utilisateurs de logiciels open source, cela signifie vérifier s’il s’appuie sur Log4j ou Log4j2 pour la journalisation. C’est une histoire de rupture. Des mises à jour suivront si plus d’informations sont disponibles.
