Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft

Publié le 10 décembre 2021 à 12h50

Une zero day critique a été trouvée dans Log4j permettant à des attaquants de réaliser des attaques d'exécution de code à distance.

Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud.

Une faille critique facile à exploiter

Log4j est un outil de journalisation développé par la fondation Apache et utilisé dans de nombreux logiciels et services Cloud, ce qui explique pourquoi la faille zero day qui le touche est aussi critique. Rapportée initialement à Apache par l'équipe de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est désormais définie comme la CVE-2021-44228. Elle permet à des attaquants de créer des requêtes malveillantes pour exécuter du code à distance et prendre le contrôle total d'un serveur, tout ça sans authentification.

Dans la nuit, plusieurs preuves de concept de son exploitation ont été postées. À la suite de ça, il a été rapporté que plusieurs acteurs malveillants scannaient Internet à la recherche de systèmes vulnérables à attaquer. « En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons que des groupes de ransomwares vont commencer à exploiter cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.

De nombreuses applications concernées

Pour le moment, il est compliqué d'avoir une liste complète d'applications touchées, la faille impactant les configurations par défaut de nombreux frameworks Apache, que ce soit Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».

LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont rapporté que des hackers pouvaient exécuter du code à distance sur les serveurs ou clients utilisant la version Java du jeu grâce à de simples messages dans le chat.

Les joueurs de Minecraft sont donc appelés à faire preuve d'une grande prudence, à ne pas se connecter à des serveurs inconnus et à ne pas communiquer avec des joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2, le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.

Sur le même sujet :
Un ransomware s’attaque aux joueurs de Minecraft

Sources : Ars Technica, BleepingComputer

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

Nmut

La vache, une faille comme ça dans un bête logger… Ce n’est pas le genre de truc dont on se méfie.
Et les « petits copains » Log4C et Log4Cpp sont aussi touchés?

Oldtimer

Et donc si iCloud est impacté, on peut se faire voler nos données ? Nos sauvegardes ?

twopheek

C’est surtout les sites bancaires qui me font peur moi.