Rendue publique depuis un peu plus d'une semaine, la faille Log4Shell donne lieu à des découvertes en cascade de brèches et de vulnérabilités. Des chercheurs ont par exemple découvert que renommer un iPhone pouvait permettre une liaison non protégée avec des serveurs d'Apple.
Découverte sur une bibliothèque Java utilisée par de nombreux acteurs de l'industrie, dont Apple et Tesla, la faille Log4shell permet notamment de faire fonctionner du code malveillant, sans authentification, pour accéder à des serveurs. Cette faille zero-day est décrite comme « extrêmement grave » par les chercheurs en sécurité qui l'ont identifiée pour la première fois en novembre.
Apple et Tesla vulnérables, au moins théoriquement
Preuve supplémentaire de sa nature insidieuse, on apprenait récemment par The Verge que remplacer le nom d'un iPhone par du code suffisait à obtenir un ping (et donc un point de contact) provenant des serveurs d'Apple. Cette faille est également observée chez Tesla.
Les chercheurs à l'origine de cette autre découverte ont simplement remplacé le nom de l'appareil par une chaîne de caractères bien spécifique. Cette dernière est créée pour envoyer les serveurs vers une URL de test. Cela permet de simuler leur comportement dans l'hypothèse où ils seraient réellement confrontés à une attaque par ce biais.
Et le bilan est préoccupant : ce changement de nom a bien conduit les serveurs d'Apple à visiter l'URL préalablement choisie par les chercheurs. Dans le cadre d'une attaque, les conséquences de cette vulnérabilité pourraient être sérieuses et conduire à un chargement de ressources à distance, comme du code malveillant. Inutile de préciser que cela ne devrait normalement pas être possible avec un simple changement de nom.
Une faille comblée… mais qui devrait sévir encore un moment
Cela dit, The Verge précise que si cette démonstration montre une nouvelle fois la dangerosité potentielle de la faille Log4shell et de ses ramifications, il reste difficile de savoir si des cybercriminels pourraient vraiment tirer parti de ce changement de nom pour nuire aux serveurs d'Apple ou Tesla.
« En théorie, un attaquant pourrait héberger un code malveillant à l'URL cible afin d'infecter des serveurs vulnérables, mais un réseau bien entretenu pourrait empêcher une telle attaque », explique notamment le média américain.
Rappelons par ailleurs qu'une mise à jour et des correctifs ont d'ores et déjà été développés et déployés pour colmater la faille Log4shell. Comme souvent face à ce type de vulnérabilités zero-day, il faudra néanmoins du temps pour que toutes les machines et serveurs vulnérables soient patchés.
Source : The Verge