Grâce à Log4Shell, l’attention est fixée sur Log4j et les vulnérabilités sont nombreuses. Une troisième bogue permet à nouveau aux attaquants d’effectuer des attaques DoS, mais elle est heureusement moins grave que la première fuite.
Log4j contient une troisième vulnérabilité dangereuse. C’est ce que rapporte l’Apache Software Foundation. Il y a une semaine et demie que les premiers rapports sont communiqués à propos de la découverte d’une très dangereuse vulnérabilité de type ‘zero-day’ dans l’outil de journalisation populaire. Après un correctif, il s’est avéré que Log4j était vulnérable à une variante du premier bogue et maintenant la bibliothèque open source semble contenir une troisième vulnérabilité.
Attaque par déni de service
Les premières vulnérabilités permettaient aux attaquants d’exécuter leur propre code sur internet. Ce bogue est légèrement moins critique, mais permet tout de même aux pirates de déclencher une boucle de rétroaction qui fera planter un serveur exécutant le logiciel Log4j. Le résultat de ce bogue est essentiellement une attaque DoS ciblée.
La version 2.15.0 de Log4j résout la première vulnérabilité importante de Log4Shell qui a été massivement exploitée entre-temps. La version 2.16.0 traite le deuxième bogue. Pour protéger également les systèmes contre cette troisième vulnérabilité DoS, vous avez besoin de la version 2.17.0 de Log4j.
Répandu
Log4Shell et ses variantes causent aux équipes informatiques du monde entier de nombreux maux de tête (et des heures supplémentaires) à l’approche de la fin de l’année. Comme nous l’avons expliqué en détail dans un article précédent, Log4j n’est pas une application, mais un composant logiciel open source qui est intégré dans des milliers d’applications dans le monde entier. De grands noms tels qu’IBM et VMware l’utilisent. Toutes ces applications individuelles sont donc vulnérables au bogue.
De grands collectifs de hackers ciblent déjà Log4j. Les acteurs parrainés par l’État participent aux attaques. Dans notre pays, il est apparu aujourd’hui que des attaquants ont piraté des systèmes de défense en utilisant l’un des bogues Log4j.