Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft

10 décembre 2021 à 12h50
3
minecraft

Une zero day critique a été trouvée dans Log4j permettant à des attaquants de réaliser des attaques d'exécution de code à distance.

Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud .

Une faille critique facile à exploiter

Log4j est un outil de journalisation développé par la fondation Apache et utilisé dans de nombreux logiciels et services Cloud, ce qui explique pourquoi la faille zero day qui le touche est aussi critique. Rapportée initialement à Apache par l'équipe de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est désormais définie comme la CVE-2021-44228. Elle permet à des attaquants de créer des requêtes malveillantes pour exécuter du code à distance et prendre le contrôle total d'un serveur, tout ça sans authentification.

Dans la nuit, plusieurs preuves de concept de son exploitation ont été postées. À la suite de ça, il a été rapporté que plusieurs acteurs malveillants scannaient Internet à la recherche de systèmes vulnérables à attaquer. « En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons que des groupes de ransomwares vont commencer à exploiter cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.

De nombreuses applications concernées

Pour le moment, il est compliqué d'avoir une liste complète d'applications touchées, la faille impactant les configurations par défaut de nombreux frameworks Apache, que ce soit Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».

LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont rapporté que des hackers pouvaient exécuter du code à distance sur les serveurs ou clients utilisant la version Java du jeu grâce à de simples messages dans le chat.

Les joueurs de Minecraft sont donc appelés à faire preuve d'une grande prudence, à ne pas se connecter à des serveurs inconnus et à ne pas communiquer avec des joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2 , le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
Nmut
La vache, une faille comme ça dans un bête logger… Ce n’est pas le genre de truc dont on se méfie.<br /> Et les «&nbsp;petits copains&nbsp;» Log4C et Log4Cpp sont aussi touchés?
Oldtimer
Et donc si iCloud est impacté, on peut se faire voler nos données ? Nos sauvegardes ?
twopheek
C’est surtout les sites bancaires qui me font peur moi.
Voir tous les messages sur le forum

Lectures liées

CyberGhost VPN commence fort 2022 avec une offre incroyable à -84% !
Bitdefender fait chuter le prix de -60% sur ses excellents antivirus
Une cyberattaque de grande ampleur touche le gouvernement ukrainien, en pleine crise avec la Russie
Vente Flash NordVPN ! On craque pour l'abonnement à -70% ?
Un groupe de hackers vole les crypto-monnaies de start-up et petites entreprises
Microsoft Defender devrait arriver sur Android, iOS et macOS
Antivirus : Kaspersky propose sa meilleure suite de sécurité à prix cassé
Ulcan, hackeur et
Avast annonce l'introduction d'un pare-feu dans son antivirus gratuit
Créer un détecteur de malware par ondes avec un Raspberry Pi, l'incroyable pari (réussi) de chercheurs en sécurité
Haut de page