Steam, Apple iCloud et Minecraft vulnérables à une exploitation zero-day

Plusieurs services populaires, y compris Apple iCloud, Steam, Amazon, Twitter, Cloudflare et Minecraft, sont laissés vulnérables à une exploitation zero-day « omniprésente » qui a été découverte dans le système de journalisation Java largement utilisé appelé ‘log4j2’ développé par l’Apache Software Foundation.

La vulnérabilité, surnommée « Log4Shell » par les chercheurs en cybersécurité de LunaSec et attribuée à Chen Zhaojun d’Alibaba, exploite des résultats d’exécution de code à distance (RCE) en enregistrant une certaine chaîne, ce qui permet aux attaquants d’accéder sans contrôle aux systèmes informatiques et d’importer des logiciels malveillants mettant en danger des millions d’appareils.

Le 0-day a été tweeté le 9 décembre avec un proof-of-concept (POC) publié sur GitHub.

Selon les chercheurs, étant donné à quel point cette bibliothèque est omniprésente, l’impact de l’exploitation (contrôle total du serveur) et la facilité d’exploitation, l’impact de cette vulnérabilité (CVE-2021-44228) est « assez sévère ».

Les chercheurs de LunaSec ont déclaré que toute personne utilisant Apache Struts est également susceptible d’être vulnérable, ajoutant que des vulnérabilités similaires avaient été exploitées auparavant dans des attaques comme la violation de données d’Equifax en 2017. La vulnérabilité dans les serveurs d’Apple peut être déclenchée simplement en changeant le nom d’un iPhone.

Le problème affecte toutes les versions entre 2.0-beta-9 et la version 2.14.1. Cependant, LunaSec a noté que les versions de Java supérieures à 6u211, 7u201, 8u191 et 11.0.1 ne sont pas affectées par la vulnérabilité.

La vulnérabilité affecte toutes les versions entre 2.0-beta-9 et la version 2.14.1. De nombreux projets Open Source comme le serveur Minecraft, Paper, ont déjà commencé à corriger leur utilisation de ‘log4j2’. Une liste exhaustive des réponses des organisations touchées a été répertoriée ici.

L’Apache Software Foundation a publié une mise à jour de sécurité d’urgence dans la version la plus récente de la bibliothèque, version 2.15.0, pour corriger la vulnérabilité zero-day dans ‘log4j’ ainsi que des étapes d’atténuation pour ceux qui ne peuvent pas mettre à jour immédiatement.

« Un attaquant qui peut contrôler les messages de journal ou les paramètres des messages de journal peut exécuter du code arbitraire chargé depuis des serveurs LDAP lorsque la substitution de recherche de message est activée », a déclaré la Fondation Apache dans un avis. « À partir de Log4j 2.15.0, ce comportement a été désactivé par défaut. »

Il est recommandé à ceux qui utilisent Log4j dans leur logiciel de le mettre à niveau vers la dernière version 2.15 immédiatement.