Vulnérabilité Log4j, un orage majeur dans un ciel déjà sombre !

Log4j est une libraire de journalisation (un logiciel de gestion de log ) édité par la fondation Apache, et la faille critique qui l'affecte porte le doux nom de CVE-2021-44228 et fut annoncée le 9 décembre 2021 sur Twitter par un chercheur en sécurité indépendant.

En schématisant, Log4j, qui exécute du code java, est un logiciel qui enregistre les événements numériques sur une plate forme donnée, par exemple un autre logiciel ou un site internet.

Pour exécuter sa tâche, il est aussi capable de réaliser des opérations complémentaires, comme exécuter des systèmes tiers, ceci afin de récupérer des valeurs issues de sources externes, par exemple, et c'est là que se situe la faille !

En effet, a ce stade, il est possible d'injecter, via Log4j, qui ne vérifie pas suffisamment les données importées, un code malveillant dans un logiciel vulnérable, mais aussi d'extraire des informations sensibles à l'aide du protocole DNS ! 

Et pour couronner le tout, Log4j est utilisé par des millions d'applications dans le monde, du portail de jeux au site d'informations, sans oublier les suites bureautiques et d'innombrables sites de cloud, les logiciels Apache étant très répandus sur les serveurs connectés, au point de représenter la majorité d'entre eux...

Bien sûr, la fondation Apache se devait de réagir rapidement en signalant que les versions 2.0 à 2.14 étaient concernées par la faille, et que la nouvelle version 2.15 corrigeait le problème.

L'ennui, c'est que comme d'habitude avec les failles Zeroday de cette envergure, c'est que la course contre la montre a déjà commencé : dès l'annonce, les pirates se sont mis à scanner le web à la recherche de sites vulnérables qui auraient le malheur d'utiliser une version problématique de Log4j, et tout indique qu'ils sont encore des centaines de milliers, voire des millions, à l'heure où nous écrivons ces lignes...

Alors, si vous pensez utiliser un logiciel Apache sur votre site, le remède existe, il est ici : https://downloads.apache.org/logging/log4j/2.15.0/. En l'installant avant qu'un cybermalandrin ne vous repère, vous fermerez la porte. Si vous n'utilisez pas les logiciels Apache, pensez quand même à mettre à jour vos applications importantes, car toutes celles qui font appel à un serveur distant peuvent être concernées.