Getty Images
Un code d’exploitation a été publié pour une grave vulnérabilité d’exécution de code dans Log4j, un utilitaire de journalisation open source utilisé dans d’innombrables applications, y compris celles utilisées par les grandes entreprises, ont rapporté plusieurs sites Web jeudi dernier.
Le mot de la vulnérabilité a été révélé pour la première fois sur des sites destinés aux utilisateurs de Minecraft, le jeu le plus vendu de tous les temps. Les sites ont averti que les pirates pourraient exécuter du code malveillant sur des serveurs ou des clients exécutant la version Java de Minecraft en manipulant les messages de journal, y compris à partir d’éléments saisis dans les messages de discussion. L’image est devenue encore plus désastreuse lorsque Log4j a été identifié comme la source de la vulnérabilité et qu’un code d’exploitation a été découvert et publié en ligne.
Une grosse affaire
“Le Minecraft côté semble être une tempête parfaite, mais je soupçonne que nous allons voir les applications et les appareils affectés continuer à être identifiés pendant longtemps », a déclaré HD Moore, fondateur et directeur technique de la plate-forme de découverte de réseau Rumble. « C’est un gros problème pour les environnements liés aux anciens environnements d’exécution Java : frontaux Web pour diverses appliances réseau, environnements d’applications plus anciens utilisant des API héritées et Minecraft serveurs, en raison de leur dépendance vis-à-vis des anciennes versions pour la compatibilité des mods.
Des rapports font déjà surface sur des serveurs performants Analyses à l’échelle d’Internet dans les tentatives de localiser les serveurs vulnérables.
@GreyNoise voit actuellement 2 IP uniques analyser Internet pour la nouvelle vulnérabilité Apache Log4j RCE (pas encore de CVE attribué).
Une balise pour suivre cette activité sur https://t.co/QckU3An40q sera disponible sous peu et liée en tant que réponse une fois publiée.— remy???? (@_mattata) 10 décembre 2021
Log4j est intégré à une multitude de frameworks populaires, notamment Apache Struts2, Apache Solr, Apache Druid et Apache Flink. Cela signifie qu’un nombre vertigineux d’applications tierces peuvent également être vulnérables aux exploits de la même gravité élevée que ceux menaçant Minecraft utilisateurs.
Au moment où cet article a été publié, la vulnérabilité n’était pas très connue. L’une des rares premières sources à fournir un numéro de suivi pour la vulnérabilité était Github, qui a indiqué qu’il s’agissait de CVE-2021-44228. Jeudi dernier, la société de sécurité Cyber Kendra a signalé qu’un jour Log4j RCE Zero avait été abandonné sur Internet et a convenu avec Moore qu’« il existe actuellement de nombreux systèmes populaires sur le marché qui sont affectés ».
La Fondation Apache n’a pas encore divulgué la vulnérabilité et ses représentants n’ont pas répondu à un e-mail. Cette page Apache reconnaît la récente correction d’une vulnérabilité sérieuse. Moore et d’autres chercheurs ont déclaré que le bogue de désérialisation Java provenait de Log4j faisant des requêtes réseau via le JNDI à un serveur LDAP et exécutant tout code renvoyé. Le bogue est déclenché à l’intérieur des messages de journal avec l’utilisation de la syntaxe ${}.
Des rapports supplémentaires de la société de sécurité LunaSec ont déclaré que les versions Java supérieures à 6u211, 7u201, 8u191 et 11.0.1 sont moins affectées par ce vecteur d’attaque, du moins en théorie, car le JNDI ne peut pas charger de code à distance à l’aide de LDAP. Les pirates peuvent toujours contourner ce problème en tirant parti des classes déjà présentes dans l’application cible. Le succès dépendra de la présence de gadgets dangereux dans le processus, ce qui signifie que les nouvelles versions de Java peuvent toujours empêcher l’exécution de code, mais uniquement en fonction des spécificités de chaque application.
LunaSec a ajouté que les services cloud de Steam et Apple iCloud étaient également affectés. Les chercheurs de l’entreprise ont également souligné qu’une vulnérabilité de gravité élevée différente dans les entretoises a conduit au compromis d’Equifax en 2017, qui a divulgué des détails sensibles à plus de 143 millions de consommateurs américains.
Cyber Kendra a déclaré qu’en novembre, l’équipe de sécurité d’Alibaba Cloud avait révélé une vulnérabilité dans Log4j2, le successeur de Log4j, qui provenait de fonctions d’analyse récursive, que les attaquants pouvaient exploiter en créant des requêtes malveillantes qui déclenchaient l’exécution de code à distance. La firme a fortement exhorté les gens à utiliser la dernière version de Log4j2 disponible ici.
Ce que cela signifie pour Minecraft
Le forum de jeux Spigot a déclaré que Minecraft les versions 1.8.8 à la version 1.18 la plus récente sont toutes vulnérables, tout comme d’autres serveurs de jeux populaires tels que Wynncraft. Le serveur de jeux et le site d’actualités Hypixel, quant à eux, ont exhorté Minecraft joueurs à faire très attention.
« La question peut permettre accès à distance à votre ordinateur via les serveurs auxquels vous vous connectez», ont écrit les représentants du site. “Cela signifie que tout serveur public sur lequel vous vous rendez crée un risque d’être piraté.”
Reproduire les exploits de cette vulnérabilité dans Minecraft ne sont pas simples car le succès ne dépend pas seulement de la Minecraft version en cours d’exécution mais aussi sur la version du framework Java le Minecraft l’application s’exécute au-dessus de. Il semble que les anciennes versions de Java aient moins de protections de sécurité intégrées qui facilitent les exploits.
Spigot et d’autres sources ont déclaré que l’ajout du drapeau JVM -Dlog4j2.formatMsgNoLookups=true
neutralise la menace pour la plupart des versions Java. Spigot et de nombreux autres services ont déjà inséré le drapeau dans les jeux qu’ils mettent à la disposition des utilisateurs.
Pour ajouter le drapeau, les utilisateurs doivent accéder à leur lanceur, ouvrir l’onglet Installations, sélectionner l’installation en cours d’utilisation et cliquer sur “…” > “Modifier” > “PLUS D’OPTIONS”, et coller -Dlog4j2.formatMsgNoLookups=true
à la fin des drapeaux JVM.
Pour le moment, les utilisateurs doivent prêter une attention particulière à cette vulnérabilité et à son potentiel de déclencher des attaques à fort impact contre une grande variété d’applications et de services. Pour Minecraft utilisateurs, cela signifie éviter les serveurs inconnus ou les utilisateurs non dignes de confiance. Pour les utilisateurs de logiciels open source, cela signifie vérifier s’il s’appuie sur Log4j ou Log4j2 pour la journalisation. C’est une histoire de rupture. Des mises à jour suivront si plus d’informations sont disponibles.