Internet

Log4j : c’est quoi ?

log4j c'est quoi

Lo4j, une plate-forme de gestion de journaux basée sur Java largement utilisée dans les entreprises, souffre d’une vulnérabilité dangereuse qui peut être exploitée à distance. De quoi s’agit-il.

Apache Log4j est une plate -forme de journalisation basée sur Java qui peut être utilisée pour analyser les fichiers journaux des serveurs Web et des applications individuelles.

Bien qu’il ne soit pas présent par défaut dans une pile LAMP normale , le logiciel est largement utilisé dans les entreprises, les plateformes de commerce électronique et des jeux comme Minecraft dont les développeurs ont rapidement appliqué un correctif.

Au cours des dernières heures, le code d’exploit , baptisé Log4Shell , a été publié, pouvant conduire à l’exécution d’instructions arbitraires, donc potentiellement nuisibles, sur tout système vulnérable.

Alors qu’Apache a très vite sorti Log4j 2.15.0, la version de l’application qui résout le problème de sécurité, nombreuses sont les entreprises qui restent attaquables avec une attaque définie comme très simple à mettre en place.

Autant dire que pour injecter du code malveillant il suffit à un attaquant de modifier la chaîne de l’agent utilisateur de son navigateur (Google a annoncé que Chrome mettrait de côté la chaîne de l’agent utilisateur ).

En peu de temps, des cybercriminels du monde entier ont commencé à analyser le réseau à la recherche de serveurs vulnérables à l’aide de Log4j avec l’intention expresse de propager des logiciels malveillants ou des cryptomineurs , de voler des données sensibles et de prendre le contrôle du système distant. Dans de nombreux cas, des systèmes vulnérables sont ajoutés aux célèbres botnets Mirai et Muhstik .

Les botnets sont utilisés pour installer des logiciels malveillants à grande échelle en utilisant les instructions reçues d’un serveur de commande et de contrôle ou pour lancer des attaques DDoS.

Des chercheurs du Microsoft Threat Intelligence Center rapportent que la faille découverte dans Log4j est également utilisée pour la diffusion de Cobalt Strike , un logiciel absolument légitime pour les tests d’intrusion qui, cependant, peut également être exploité par des cybercriminels pour surveiller les réseaux d’autrui et exécuter des commandes. à distance.

De nombreuses autres attaques s’ajoutent progressivement car pour les attaquants la faille découverte dans Log4j est une trop belle opportunité de se frayer un chemin dans des infrastructures d’entreprises tierces.

Pour ceux qui utilisent Log4j, le meilleur moyen d’éviter tout risque d’attaque est de passer à la version 2.15.0 ou ultérieure. Dans la version 2.10 et les versions ultérieures, vous pouvez définir la propriété système log4j2.formatMsgNoLookups sur true ou supprimer la classe JndiLookup du « classpath ».

Si le serveur utilise les runtimes Java 8u121 et suivants par défaut, les paramètres qui peuvent montrer le côté à d’éventuelles attaques sont définis sur false , atténuant les risques.

Si vous n’utilisez pas Java sur les serveurs de l’entreprise et que vous n’utilisez pas de frameworks basés sur Java, il n’est pas nécessaire d’appliquer un type d’intervention.

Sur les systèmes Linux, vous pouvez rechercher toutes les occurrences de Log4j parmi les fichiers du système en tapant la commande suivante locate log4jgrep -v log4js . Évidemment, la commande de localisation doit être présente sur la machine utilisée.

Nous signalons également deux outils open source développés par Anchore qui permettent d’examiner les dépendances des packages logiciels installés sur la machine à la recherche d’éventuelles références à Log4j.

Les deux outils ( Syft et Grype ) se trouvent sur cette page GitHub et ont le grand avantage d’examiner le contenu des fichiers JAR, y compris ceux « imbriqués ».