Faille Log4J : que sait-on et comment y faire face !

Depuis le vendredi 10 décembre, une faille dite “0-day” agite le monde du Java. Il s’agit en réalité d’une faille dans l’Apache Log4J, une des bibliothèques les plus utilisées par les applications Java. Néanmoins, des solutions de mitigation sont possibles.  

Les failles 0-day sont les plus redoutées en cybersécurité car elles concernent les vulnérabilités non recensées ou qui n’ont pas encore reçu de correctifs. Cette faille Log4j a rapidement été qualifiée de faille 0-day. Cependant, cette vulnérabilité est en réalité connue depuis des années, en témoigne la BlackHat conférence de 2016.

Les niveaux de criticité et d’exploitabilité de la faille Log4J en font une vulnérabilité à très haut risque. Les scénarios du pire sont possibles : l’attaque d’un serveur, par une simple requête http sans authentification, permet à n’importe quel attaquant d’exécuter le code souhaité à distance (RCE) : effacer, créer des fichiers, récupérer des mots de passe…C’est une véritable porte ouverte à toutes les intrusions ! 

Néanmoins, il convient d’apporter une nuance : pour être vulnérable, les versions 1.x doivent remplir une condition bien précise, comme l’indique le CERT-FR :

La version 1 de log4j a été initialement déclarée vulnérable cependant la vulnérabilité n’existe que si le composant JMS Appender est configuré pour prendre en compte JNDI. Il s’agit donc d’une configuration très spécifique.

CERT-FR

Il n’en reste pas moins que face à cette faille, les entreprises concernées sont déjà sur le pied de guerre pour apporter les correctifs et réponses nécessaires de toute urgence. 

Nos conseils à chaud ?

Pour aller plus loin 

Les CERTs nationaux européens se sont mobilisés pour tenir à jour une liste des software impactés par cette vulnérabilité. Retrouvez-là ici.

Plus d’informations en temps réel sur le bulletin d’alerte du CERT-FR. 

theexpert

Add comment