Faille de sécurité critique dans la bibliothèque Java "Log4j
A la fin de la semaine dernière, une faille "zero-day" dans la bibliothèque Java très répandue "Log4j" a été rendue publique. La vulnérabilité est considérée comme critique, car la bibliothèque est intégrée dans de très nombreuses applications Java.
Vendredi dernier, le NCSC a reçu des messages concernant une faille de sécurité critique dans la célèbre bibliothèque Java "Log4j". Cette bibliothèque est très répandue et utilisée dans de nombreux logiciels commerciaux et open source.
La vulnérabilité (CVE-2021-44228 1) est critiqueLa vulnérabilité de cette vulnérabilité est très élevée, car elle peut être exploitée à distance par un attaquant non authentifié pour exécuter un code malveillant arbitraire. La criticité de la vulnérabilité est évaluée à 10 (sur 10) dans le "Common Vulnerability Scoring System" (CVSS), ce qui indique le degré de gravité de la vulnérabilité.
Appliquer rapidement les correctifs de sécurité
Comme de nombreux fournisseurs tiers utilisent "Log4j" dans leurs produits, ils travaillent intensivement à la publication de correctifs pour leurs produits. Au cours des dernières 48 heures, de nombreux fournisseurs ont publié des correctifs de sécurité pour leurs produits. Le NCSC demande instamment aux organisations et aux infrastructures critiques nationales de vérifier si leur environnement logiciel utilise "Log4j" et d'appliquer les correctifs correspondants dès que possible. Si l'application des correctifs n'est pas possible, il est recommandé de prendre toutes les mesures correctives possibles afin d'éviter des dommages supplémentaires.
Les particuliers aussi sont concernés
Mais les entreprises ne sont pas les seules à être menacées. La bibliothèque "Log4j" se trouve également dans de nombreux composants de réseau et de système utilisés dans le domaine privé. C'est pourquoi les particuliers doivent toujours maintenir leurs systèmes (ordinateurs, tablettes, smartphones, routeurs WLAN, imprimantes, etc.) à jour, ou veiller à les mettre régulièrement à jour. Ainsi, les correctifs de sécurité mis à disposition en permanence par les fabricants seront appliqués le plus rapidement possible.
Alertes aux organisations potentiellement concernées
Le NCSC serait en contact permanent avec des partenaires nationaux et internationaux sur ce sujet. Samedi, le Centre national de cybersécurité a commencé à informer les organisations potentiellement touchées en Suisse des instances "Log4j" vulnérables accessibles via Internet. De telles notifications ont également été envoyées à plusieurs infrastructures critiques nationales.
Bien que la vulnérabilité puisse être utilisée pour lancer des attaques ciblées contre des infrastructures critiques nationales, le NCSC n'a pas encore reçu de signalement dans ce sens. Les tentatives d'exploitation observées jusqu'à présent ont servi à diffuser des logiciels malveillants de masse tels que "Mirai2", "Kinsing3" et "Tsunami3" (également connu sous le nom de Muhstik). Ces réseaux de zombies sont utilisés en premier lieu pour des attaques DDoS (Mirai, Tsunami) ou pour le minage de cryptomonnaies (Kinsing).
Recommandations et informations utiles
Pour les administrateurs de systèmes, le NCSC a mis à disposition sur le blog du GovCERT des recommandations sur la marche à suivre ainsi que la liste des indicateurs d'une possible compromission (indicators of compromise IOCs) :
Blog GovCERT : Zero-Day Exploit Targeting Popular Java Library Log4j (disponible en anglais)
Source : NCSC
