Actualités

Log4J (Log4Shell) : à nouveau, mise à nue d’une vulnérabilité… un patch est disponible pour mettre à jour vers la version 2.17.1 !

L’année 2022 ne se fera, décidément, pas sans Log4j, la bibliothèque Apache : ressource largement démocratisée dans moultes applications-logiciels ou jeux (mobiles), Log4j réside malheureusement dans la tourmente… ainsi que les éditeurs ou acteurs technologiques qui ne prendrait pas garder d’appliquer le patch correctif.

 

 

Vulnérabilité originellement évoquée en Janvier 2019 – notamment par Michael Stepankin – avant d’être démontrée techniquement depuis le 9 Décembre 2021 par LunaSec, celle-ci serait à nouveau effective. Assignée CVE-2021-44832, elle permet une attaque RCE (Exécution de Code à Distance) depuis le serveur-cible LDAP, avec les bons paramètres (JDBC Appender + URI JNDI). Les versions 2.17.0, 2.3.1, 2.12.2 et 2.12.3 comblent cet exploit potentiel en apposant une condition à l’activation (=true) du JNDI, au niveau de la propriété-système (log4j2.enableJndiJdbc). En addition, la propriété principale JNDI a été renommée (log4j2.enableJndi) et éclatée en trois sous-propriétés (og4j2.enableJndiLookup, log4j2.enableJndiJms et log4j2.enableJndiContextSelector). Enfin, seul réside, désormais, le protocole Java sous JNDI (non-plus le LDAP), précise Apache.

 

L’étalement dans la douleur n’aidant aucunement, des exploits continuent de poindre sur l’Internet concernant Log4Shell : depuis le 16 Décembre 2021, l’équipe Blumira a publié un PoC (valable jusque dans la dernière vulnérabilité : inutile de préciser – donc indispensable ! – qu’il faut, pour rappel, mettre à jour Log4J sans tarder si ce n’était déjà le cas) démontrant une attaque de type RCE depuis une “connexion JavaScript WebSocket“. En se limitant aux terminaux (tests) qui n’ont pas encore fait la mise à jour, les chercheurs ont initialisé (sous Log4j v2.13 + SpringFramework. Environnement Target également testé avec “plus de succès” ; idem pour RMI via le port 1099) une telle connexion depuis un simple navigateur Web (Google Chrome, v96.0.4664.110) tout en s’aidant d’un “des nombreux kits d’exploitation JNDI”, notamment sous Ubuntu. Une fois l’hôte ou service atteint, il est potentiellement possible de supprimer les chemins-fichiers ou paramètres relatifs au JNDI : “lorsque cela se produit, l’hôte vulnérable appelle le serveur d’exploitation, charge la classe de l’attaquant et l’exécute avec java.exe comme processus parent“. Outre la mise à jour et parmi les recommandations prodiguées par le chercheur, l’outil NoScript peut atténuer durablement, en premier barrage, ce type de vulnérabilité, tout en établissant un “filtrage de sortie” pour les points de terminaison.

 

Autre fait inquiétant soulevé, cette fois, par Advanced Intelligence (AdvIntel) : depuis le 12 Décembre 2021, les chercheurs ont observé un intérêt vifs pour les cyber-attaquants envers l’exploit Log4Shell. “AdvIntel a confirmé que les criminels ont poursuivi le ciblage spécifique de Log4J2 VMware vCenter vulnérable pour un mouvement latéral directement à partir du réseau compromis, ce qui a entraîné un accès au vCenter affectant les réseaux de victimes américains et européens à partir des sessions Cobalt Strike préexistantes“, indique le billet sécuritaire dédié, le 17 Décembre 2021. Une information à intégrer dans le modus operandi, potentiellement, des cyber-attaquants du ransomware alors que ces derniers, depuis le 26 Décembre 2021, aurait ciblé les instances de Shutterfly LLC : bien que le commerçant en cartographie et photographies ne mentionne, pour l’heure, aucunement Conti directement, il fait état d’une cyber-attaque par ransomware “sur des parties” de son “réseau“. “Lifetouch et BorrowLenses, Groovebook, la fabrication et certains systèmes d’entreprise ont connu des interruptions“, est-il ajouté brièvement, tout en précisant qu’une “enquête” est en cours depuis cette date et tout en confirmant qu’aucune donnée personnelle ou financière n’aurait été compromise.

Enfin, le Ministère de l’Industrie et des Technologies de l’Information (MIIT – Chine) vient de sanctionner Alibaba Cloud pour ne pas avoir reporté, en premier lieu et comme l’impose la loi cyber-sécuritaire locale, depuis Décembre 2019, en signalant une cyber-menace potentielle d’abord au Gouvernement et non-plus à l’éditeur – une vulnérabilité impactant ses serveurs usitant Log4J (et qui n’ont pas été mis à jour pour combler Log4Shell, donc). Il a été annoncé qu’une suspension de contrat-partenariat avec été effectué par le Ministère et pendant 6 mois. Même tintement de cloche pour la FTC (Federal Trade of Commerce) : le régulateur américain, dans un communiqué officiel du 4 Janvier 2022, a confirmé son intention “d’utiliser toute son autorité légale pour poursuivre” toute entreprise qui ne veillerait pas à vérifier que la mise à jour a été appliquée. Le cas d’Equifax a été cité (aspiration de données : 147 M de consommateurs) via une amende versée à hauteur de 700 M de dollars USD “pour régler les actions de la FTC, du CFPB et des 50 Etats“… A veiller !

 

 

Sources :

 

 

 

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0