Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft

10 décembre 2021 à 12h50
3
minecraft

Une zero day critique a été trouvée dans Log4j permettant à des attaquants de réaliser des attaques d'exécution de code à distance.

Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud.

Une faille critique facile à exploiter

Log4j est un outil de journalisation développé par la fondation Apache et utilisé dans de nombreux logiciels et services Cloud, ce qui explique pourquoi la faille zero day qui le touche est aussi critique. Rapportée initialement à Apache par l'équipe de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est désormais définie comme la CVE-2021-44228. Elle permet à des attaquants de créer des requêtes malveillantes pour exécuter du code à distance et prendre le contrôle total d'un serveur, tout ça sans authentification.

Dans la nuit, plusieurs preuves de concept de son exploitation ont été postées. À la suite de ça, il a été rapporté que plusieurs acteurs malveillants scannaient Internet à la recherche de systèmes vulnérables à attaquer. « En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons que des groupes de ransomwares vont commencer à exploiter cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.

De nombreuses applications concernées

Pour le moment, il est compliqué d'avoir une liste complète d'applications touchées, la faille impactant les configurations par défaut de nombreux frameworks Apache, que ce soit Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».

LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont rapporté que des hackers pouvaient exécuter du code à distance sur les serveurs ou clients utilisant la version Java du jeu grâce à de simples messages dans le chat.

Les joueurs de Minecraft sont donc appelés à faire preuve d'une grande prudence, à ne pas se connecter à des serveurs inconnus et à ne pas communiquer avec des joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2, le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
Nmut
La vache, une faille comme ça dans un bête logger… Ce n’est pas le genre de truc dont on se méfie.<br /> Et les «&nbsp;petits copains&nbsp;» Log4C et Log4Cpp sont aussi touchés?
Oldtimer
Et donc si iCloud est impacté, on peut se faire voler nos données ? Nos sauvegardes ?
twopheek
C’est surtout les sites bancaires qui me font peur moi.
Voir tous les messages sur le forum

Derniers actualités

Attention à cette fausse app MSI Afterburner, elle peut vous voler vos données
Sites de téléchargement : c'est terminé pour les films et séries piratés par le groupe EVO
Vous en rêviez ? Le PalmPilot revient en émulateur sur Internet Archive
Twitter : en interne, la restauration de 62 000 comptes bloqués est appelée le
Nouveau scandale chez Uber, accusé d'espionner ses chauffeurs
Portal avec du ray tracing, ça arrive très vite !
Rachat de Salto : Molotov dément les rumeurs
L'après Black Friday, c'est un écran PC gaming ViewSonic 2K 144 Hz en promo
Fissures et démontage : le chantier du réacteur de fusion ITER va prendre beaucoup de retard
Après le Black Friday, la Xbox Series S n'a toujours pas remonté de prix !
Haut de page