Une vulnérabilité jour zéro vient d’être trouvée dans la librairie logicielle Apache Log4j, qui est utilisée par une multitude d’organisations et de très nombreux services en ligne, de Minecraft à Apple iCloud, de Twitter à Cloudfare, afin de journaliser des événements.
De référence CVE-2021-44228, elle rend possible l’exécution de code arbitraire à distance. Toutes les versions inférieures à 2.15.0 sont affectées.
Depuis l’annonce vendredi dernier, des pirates s’empresseraient de développer des logiciels malveillants pour l’exploiter. Comme des botnets de cryptomonnaies, ou l’exfiltration de clés de sécurité et autres données confidentielles des clients d’Amazon Web Services.
Jen Easterly, la directrice de la Cybersecurity and infrastructure Security Agency (CISA), l’agence fédérale américaine en charge d’améliorer la qualité de la sécurité informatique de l’État et de toutes les agences gouvernementales, a confié lundi à des leaders de l’industrie qu’il s’agit sans doute de la vulnérabilité de sécurité la plus dangereuse de toutes celles découvertes durant sa carrière.
Des centaines de millions d’ordinateurs et d’appareils sont sans doute infectées.
D’autres pays ont tiré le signal d’alarme : Autriche, Canada, Nouvelle Zélande et Royaume-Uni.
Il serait impératif de mettre à jour Log4j à l’aide d’un correctif de sécurité. Un travail soutenu serait nécessaire pour assurer la sécurité dans les entreprises, et Easterly recommande que les équipes de sécurité de ces organisations ne se relâchent pas pendant les fêtes de Noël.
De très nombreuses entreprises de technologie, telles que Microsoft, Cisco, IBM et bien d’autres, offrent des guides pour détecter, atténuer ou éliminer la menace.
En France, CERT-FR a publié une alerte, CERTFR-2021-ALE-022, mise à jour aujourd’hui