Le 9 décembre a été divulguée une alerte concernant une faille critique nommée “Log4shell”. Cette vulnérabilité affecte Log4j de la version 2.0 à 2.14.1 de la bibliothèque de log dont se servent des millions d’applications Java. Elle est ainsi exploitée par de nombreux hackers. Selon les experts, cette faille est considérée comme l’une des plus graves depuis plus de dix ans. En effet, elle a obtenu un score de 10/10 de vulnérabilité CVSS (Common Vulnerability Scoring System). La faille a été découverte par Chen Zhaojun de l’équipe de sécurité d’Alibaba Cloud. De son côté, Cloudflare (entreprise spécialisée) s’est aperçu que les premières attaques sont apparues à date du 1er décembre soit plus d’une semaine avant sa divulgation officielle.
De grands groupes internationaux comme Twitter, Apple, Tesla, Amazon pourraient avoir été à risque. Mais la menace s’étend sur toutes les entreprises qui n’ont pas encore réagi face à cette vulnérabilité.
Qu’est-ce que « log4j » et en quoi consiste cette faille ?
Log4j est un projet de la fondation Apache. Elle est conçue pour la journalisation d’activités et est très répandue dans les applications Java et dans les services cloud. Cette vulnérabilité est une « 0-day», ce qui signifie qu’elle a été exploitée directement par des attaquants avant même d’avoir été découverte. De plus, elle est toujours activement exploitée à ce jour.
La faille permet aux attaquants d’exécuter du code à distance sur vos serveurs sans s’authentifier. Elle permet ainsi d’en prendre le contrôle extrêmement facilement.
Pourquoi cette faille est-elle si critique ?
On la considère comme particulièrement grave (10/10 au score CVSS de dangerosité) car si un système est vulnérable, il peut donner un accès complet aux systèmes et aux serveurs. Par ailleurs, l’exploitation de cette faille nécessite un faible niveau de compétence.
Le paquet peut être installé et construit localement, ce qui rend la détection via des gestionnaires de paquets plus difficile.
Cette vulnérabilité peut toucher absolument tout le monde et vous exposer à des vols de données, paralysie de vos systèmes, ransomware, etc. Il a été relevé que certains pirates s’en servent pour y installer des mineurs de cryptomonnaies.
Que faire pour corriger cette faille ?
Cette vulnérabilité critique (et activement exploitée) vise les sites internet utilisant le langage (framework) Java, et plus particulièrement l’outil Log4j, projet de la fondation Apache. Si Layerdev utilise pour plusieurs clients le webserver Apache, nous n’avons jamais utilisé Log4j ni aucun langage reposant sur Java/J2EE. L’utilisation du webserver Apache ne signifie donc absolument pas que vos services sont à risque. Néanmoins, d’autres facteurs sont à prendre en considération :
1. Vous êtes un client sous maintenance (Serveur/DNS) Layerdev : vos serveurs sont protégés.
Toutes les personnes ayant souscrit à contrat de maintenance « Serveur » et/ou « Nom de domaine » ont été placées dans la soirée du 10 au 11 décembre sous un firewall pour mitiger cette vulnérabilité. Cette information est valable uniquement pour les serveurs visés par le contrat. Que vos serveurs fassent tourner uniquement des services Layerdev ou aussi ceux de prestataires tiers, ils sont protégés.
2. Vous n’avez pas de contrat de maintenance. Dans ce cas :
– Avant toute chose, et si cela n’est pas encore le cas, mettez en place un système de backup régulier et veillez à les déconnecter du serveur principal. Cette prestation peut avoir été réalisée par Layerdev au moment de la réalisation de votre projet. Si tel est le cas, elle doit vous avoir été facturée et apparaître clairement sur votre facture.
– Vérifiez la présence de l’outil Log4j. Si ce module est présent sur votre serveur, mettez immédiatement à jour le module vers la version 2.15.0
– Votre site est sous Shopify : la société devrait avoir déployé les solutions pour contrer cette vulnérabilité. Néanmoins, les extensions tierces installées peuvent permettre indirectement la fuite de certaines de vos données. Shopify a envoyé un bulletin afin de demander aux créateurs de ces modules de prévenir sous 48 heures leurs clients après avoir détecté une compromission de leurs services.
À noter qu’en parallèle, les hackers scannent également tous les systèmes vulnérables afin d’y pénétrer et d’y exploiter les serveurs, bases de données, etc. Il s’agit d’une véritable course contre la montre.
Pouvons-nous être impacté si nous n’avons pas d’applications Web Java ?
Il faut noter que cette vulnérabilité concerne un des noyaux de nombreux projets d’Internet. Si votre serveur n’est pas concerné directement, celui d’un de vos prestataires peut en être victime et vous impacter de manière collatérale (services de facturation, d’emailing, modules tiers, etc.). Soyez à l’écoute d’éventuels bulletins d’alerte de vos partenaires.
Pour plus d’informations : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Pour rappel : en cas de piratage de ses données, un établissement, qu’il soit public ou privé, devra alerter immédiatement la CNIL. Il disposera d’un délai maximal de 72 heures.
Layerdev est en mesure de vous accompagner sur toutes vos problématiques liées à la cybersécurité. N’hésitez pas à nous contacter en cliquant ici. Nous vous rappellerons dans les minutes qui suivent.
