Qu’est-ce que la vulnérabilité Apache Log4J (Log4Shell) ?
Brisez vos silos de sécurité et améliorez vos défenses grâce à la puissance d'une plateforme de cybersécurité unique.
Log4Shell (CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105) est une vulnérabilité d’exécution de code à distance (RCE, remote code execution) qui permet à des acteurs malveillants d’exécuter un code Java arbitraire, en prenant le contrôle d’un serveur cible.
Vue d’ensemble de la vulnérabilité Log4Shell
2021 a été une année bien remplie en termes de vulnérabilités zero-day, à commencer par Log4Shell. Cette faille critique se trouve dans Apache Log4j, une bibliothèque de consignation basée sur Java et utilisée à grande échelle. Officiellement identifiée sous le nom CVE-2021-44228, le Common Vulnerability Scoring System (CVSS) lui a attribué un score de gravité de 10 sur 10 (CVSS v3.1).
Cette vulnérabilité a tout d'abord été signalée de manière privée à Apache le 24 novembre 2021. Le 9 décembre 2021, Log4Shell a été publiquement divulgué et a reçu un correctif initial avec la version 2.15.0 d’Apache Log4j.
Les informations suivantes relatant des attaques observées dans l’environnement ont poussé plusieurs agences de cybersécurité nationales à émettre des avertissements, notamment la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis, le National Cyber Security Center (NCSC) au Royaume-Uni, et le Canadian Center for Cyber Security. En raison de la popularité d’Apache Log4j, des centaines de millions d'appareils ont pu être impactés.
Fonctionnement de Log4Shell
Log4Shell est une vulnérabilité d’injection Java Naming and Directory Interface™ (JNDI) qui peut permettre l’exécution de code à distance (RCE, remote code execution). En incluant des données non fiables (comme des charges utiles malveillantes) dans le message consigné dans une version Apache Log4j affectée, un attaquant peut établir une connexion à un serveur malveillant via une recherche JNDI. Il bénéficie ainsi d’un accès complet à votre système, où qu'il soit dans le monde.
La recherche JNDI prend en charge différents types de répertoires, comme Domain Name Service (DNS), Lightweight Directory Access Protocol (LDAP) qui fournissent de précieuses informations comme les appareils réseau de l’organisation, Remote Method Invocation (RMI), et Inter-ORB Protocol (IIOP). Log4Shell peut mener à d'autres menaces, telles que :
- Minage de cryptomonnaie : les attaquants peuvent utiliser vos ressources pour miner de la cryptomonnaie. Cette menace peut être assez coûteuse, au vu de la grande quantité de puissance de calcul requise pour exécuter des services et des applications dans le cloud.
- Denial of service (DoS) de réseau : cette menace permet aux attaquants d'arrêter et/ou de désactiver un réseau, un site Web ou un service, de sorte qu’il est inaccessible pour l’organisation ciblée.
- Ransomware : une fois le RCE atteint, les attaquants peuvent collecter et chiffrer des données en vue de demander une rançon.
Voici une chaîne d’infection possible :
Produits, applications et plug-ins vulnérables
Essentiellement tout appareil connecté à Internet exécutant Apache Log4j versions 2.0 à 2.14.1. Les versions concernées sont incluses dans Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo et VMware vCenter.
Correctif et atténuation
Apache a publié Apache Log4j version 2.15.0 pour corriger la vulnérabilité. Cependant, cette version ne fonctionnait qu’avec Java 8. Les utilisateurs de versions antérieures ont dû appliquer des atténuations temporaires, encore et encore. Au moment de la publication, Apache a publié la version 2.16.0 et a conseillé aux utilisateurs de mettre à jour aussi rapidement que possible leur bibliothèque potentiellement affectée.
D'autres stratégies d'atténuation, comme l’application de correctifs virtuelle et l’utilisation d’un système de détection/prévention des intrusions (IDS/IPS), sont fortement encouragées. L’application de correctifs virtuelle évite toute exploitation ultérieure de la vulnérabilité, tandis que l’IDS/IPS inspecte les comportements suspects dans le trafic entrant et sortant.
Log4Shell et les Hackers
Accès initial
Cette vulnérabilité est causée par le mécanisme de "lookup" dans Log4j 2.x. Celui-ci recherche les caractères ${ dans les journaux et déclenche la fonction "lookup", permettant l’utilisation de formes comme les requêtes JNDI (par exemple ${jndi:logging/context-name}), qui prennent en charge des protocoles tels que LDAP et RMI. Un attaquant peut utiliser un serveur LDAP avec une classe Java malveillante pour exécuter du code à distance.
Exécution
Si l’exploit réussit, le serveur interprète la chaîne de recherche et peut potentiellement exécuter des commandes arbitraires en Java, JavaScript ou shell Unix.
Mouvement latéral
Des composants Cobeacon, connus pour faciliter le mouvement latéral et associés à des ransomwares, peuvent être téléchargés.
Accès aux identifiants
Des malwares comme Kirabash peuvent voler des identifiants en exfiltrant les fichiers /etc/passwd et /etc/shadow.
Impact
Les charges utiles observées incluent le botnet Mirai et le cryptomineur Kinsing. Les impacts comprennent :
Détournement de ressources : les cryptomineurs consomment les ressources du système ; Mirai peut utiliser les systèmes infectés pour former un botnet.
Déni de service réseau (DoS) : Mirai peut lancer des attaques DDoS/DoS à partir de systèmes compromis.
L’Impact de Log4Shell
Découverte par les chercheurs d’Alibaba le 24 novembre 2021, Log4Shell a été classée comme une vulnérabilité critique avec un score CVSS parfait de 10,0. En tant que faille de type zero-day dans la bibliothèque de journalisation Log4J, largement utilisée, elle représentait un risque immédiat et majeur avant la publication d’un correctif.
L’adoption massive de Log4J dans les applications web, les services cloud et les systèmes grand public signifiait que plus de 90 % des environnements cloud étaient vulnérables. De nombreuses organisations ignoraient même qu’elles étaient exposées, Log4J étant souvent utilisé en tant que dépendance indirecte.
Ce qui rendait Log4Shell particulièrement dangereux, c’était sa simplicité d’exploitation – aucun accès privilégié n’était nécessaire. Les attaquants pouvaient injecter du code malveillant via des entrées utilisateur simples comme des champs de connexion ou des boîtes de discussion. Une fois activé, le code pouvait transmettre des charges utiles à d’autres parties du système.
Dès le 9 décembre, un code d’exploitation public avait été publié et des entreprises majeures comme Minecraft, Twitter et Cisco étaient touchées. Au plus fort de l’activité, plus de 100 attaques par minute ont été enregistrées dans le monde entier.
Les attaquants ont exploité la faille pour déployer des botnets, des cryptomineurs et des ransomwares (comme Khonsari ou Night Sky), et même des groupes soutenus par des États tels que la Chine ou la Corée du Nord ont été observés en train de l’exploiter.
Trend Micro Vision One Platform
Arrêter les adversaires plus rapidement et reprendre le contrôle du risque cybernétique nécessite une approche unifiée. La vulnérabilité généralisée de Log4J a révélé à quel point il est facile pour les attaquants d’exploiter même des composants simples, rendant la défense proactive et intégrée indispensable.
Trend Vision One vous offre des capacités de prévention, de détection et de réponse alimentées par l’IA, soutenues par une veille sur les menaces de pointe. Il prend en charge les environnements IT hybrides, automatise les flux de travail de sécurité et simplifie les opérations, vous permettant ainsi de réduire la complexité, de combler les lacunes et de garder une longueur d’avance sur les menaces.
Apache Log4J
Recherches associées
Articles associés