Log4Shell : tout savoir sur la faille de sécurité majeure qui touche des milliers de serveurs

Cette importante faille de sécurité permet aux attaquants d’exécuter du code informatique directement sur le serveur d’une organisation.

Arthur Aballéa
Arthur Aballéa
Arthur Aballéa
Publié le
observatoire-metiers-de-la-cybersecurite-ANSSI
Un correctif a été déployé en urgence le jour même, pour empêcher les attaques malveillantes. © NicoElNino - stock.adobe.com

Découverte le 10 décembre dans la bibliothèque Java Log4j, développée par Apache, cette faille de sécurité majeure baptisée Log4Shell a suscité une grande vague d’inquiétude auprès de nombreux chercheurs.

Un moyen d’exécuter du code sur n’importe quelle machine vulnérable

La bibliothèque Java Log4j est conçue pour enregistrer des informations relatives à un logiciel comme, par exemple, des rapports d’erreurs. Cette faille de sécurité permet en réalité à un attaquant d’envoyer au serveur le lien d’une page web, et de lui faire lire l’ensemble du contenu de cette page. Si la page contient du code en Java, le serveur est en mesure de l’exécuter. Cette vulnérabilité, définie comme étant la faille CVE-2021-44228, est particulièrement dangereuse puisqu’elle offre une possibilité de faire fonctionner du code à distance sur n’importe quel serveur vulnérable.

Marcus Hutchins, un chercheur britannique en cybersécurité, connu pour avoir stoppé l’attaque de ransomware WannaCry, a directement réagi en déclarant : « Cette vulnérabilité Log4j (CVE-2021-44228) est extrêmement mauvaise. Des millions d’applications utilisent Log4j pour la journalisation, et tout ce que l’attaquant doit faire est de demander à l’application de journaliser une chaîne spéciale. » Il précise que les principaux services confirmés comme étant vulnérables sont iCloud (service d’hébergement d’Apple), Steam (store de jeux vidéos) ainsi que Minecraft.

https://twitter.com/MalwareTechBlog/status/1469289471463944198

L’Agence nationale de la sécurité des systèmes d’information (Anssi) a rapidement réagi en publiant une alerte sur cette faille, puisqu’elle concerne une bibliothèque Java utilisée par des milliers d’entreprises.

Une mise à jour est disponible

Un correctif a été publié en urgence, durant le week-end, par la fondation Apache, mais il doit être installé par les propriétaires de serveurs pour empêcher les attaques. Certains concernés, comme Mojang, l’éditeur de Minecraft, ont également publié plusieurs alertes sur leurs sites respectifs pour inviter tous les propriétaires de serveurs à faire la mise à jour proposée le plus vite possible.

Source : Apache

Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Les meilleurs outils pour les professionnels du web

Norton Small Business

Antivirus
Un antivirus avec VPN pour les entreprises

Surfshark VPN

VPN
Un VPN pour une navigation sécurisée sur tous vos appareils

Protect by Mailinblack

Anti-spam
Protéger les messageries professionnelles de vos collaborateurs
BDM / Articles / Tech / Log4Shell : tout savoir sur la faille de sécurité majeure qui touche des milliers de serveurs

Sur le même thème

Cybersécurité

Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille
Cybersécurité

Attaque DDoS contre votre entreprise : comment réagir ?
Cybersécurité

Violations de données : la France est le 2e pays le plus ciblé, derrière les États-Unis
Cybersécurité

5 questions pour comprendre le Cyber Resilience Act
Données personnelles

Comment se protéger face aux fuites de données : les conseils de la CNIL
Interviews

Cyberattaques : comment les TPE, PME et ETI sont devenues des cibles privilégiées