Clé à emporter
- Des milliers de serveurs et de services en ligne sont toujours exposés à la vulnérabilité dangereuse et facilement exploitable de loj4j, selon des chercheurs.
- Bien que les principales menaces soient les serveurs eux-mêmes, les serveurs exposés peuvent également mettre les utilisateurs finaux en danger, suggèrent les experts en cybersécurité.
- Malheureusement, la plupart des utilisateurs ne peuvent pas faire grand-chose pour résoudre le problème, à part suivre les meilleures pratiques de sécurité pour les postes de travail.
La dangereuse vulnérabilité log4J refuse de mourir, même des mois après la mise à disposition d'un correctif pour le bogue facilement exploitable.
Les chercheurs en cybersécurité de Rezilion ont récemment découvert plus de 90 000 applications Internet vulnérables, dont plus de 68 000 serveurs Minecraft potentiellement vulnérables dont les administrateurs n'ont pas encore appliqué les correctifs de sécurité, les exposant ainsi que leurs utilisateurs à des cyberattaques. Et vous ne pouvez pas y faire grand-chose.
"Malheureusement, log4j va hanter les utilisateurs d'Internet pendant un bon bout de temps", a déclaré Harman Singh, directeur du fournisseur de services de cybersécurité Cyphere, à Lifewire par e-mail. "Comme ce problème est exploité côté serveur, [les gens] ne peuvent pas faire grand-chose pour éviter l'impact d'une compromission du serveur."
La hantise
La vulnérabilité, surnommée Log4 Shell, a été détaillée pour la première fois en décembre 2021. Lors d'un briefing téléphonique à l'époque, la directrice de l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), Jen Easterly, a décrit la vulnérabilité comme "l'une des plus sérieux que j'ai vu dans toute ma carrière, sinon le plus sérieux."
Dans un échange d'e-mails avec Lifewire, Pete Hay, responsable pédagogique de la société de test et de formation en cybersécurité SimSpace, a déclaré que l'étendue du problème peut être mesurée à partir de la compilation de services et d'applications vulnérables de fournisseurs populaires tels qu'Apple, Steam, Twitter, Amazon, LinkedIn, Tesla et des dizaines d'autres. Sans surprise, la communauté de la cybersécurité a réagi de plein fouet, Apache publiant un correctif presque immédiatement.
Partageant leurs découvertes, les chercheurs de Rezilion espéraient qu'une majorité, sinon la totalité, des serveurs vulnérables auraient été corrigés, compte tenu de l'énorme couverture médiatique autour du bogue. "Nous nous sommes trompés", écrivent les chercheurs surpris. "Malheureusement, les choses sont loin d'être idéales et de nombreuses applications vulnérables à Log4 Shell existent encore dans la nature."
Les chercheurs ont trouvé les instances vulnérables à l'aide du moteur de recherche Shodan Internet of Things (IoT) et pensent que les résultats ne sont que la pointe de l'iceberg. La surface d'attaque vulnérable réelle est beaucoup plus grande.
Êtes-vous à risque ?
Malgré la surface d'attaque exposée plutôt importante, Hay pensait qu'il y avait de bonnes nouvelles pour l'utilisateur domestique moyen. "La majorité de ces vulnérabilités [Log4J] existent sur les serveurs d'applications et il est donc très peu probable qu'elles affectent votre ordinateur personnel", a déclaré Hay.
Cependant, Jack Marsal, directeur principal du marketing produit chez le fournisseur de cybersécurité WhiteSource, a souligné que les gens interagissent tout le temps avec les applications sur Internet, des achats en ligne aux jeux en ligne, ce qui les expose à des attaques secondaires. Un serveur compromis peut potentiellement révéler toutes les informations que le fournisseur de services détient sur son utilisateur.
"Il n'y a aucun moyen qu'un individu puisse être sûr que les serveurs d'applications avec lesquels il interagit ne sont pas vulnérables aux attaques", a averti Marsal. "La visibilité n'existe tout simplement pas."
Malheureusement, les choses sont loin d'être idéales, et de nombreuses applications vulnérables à Log4 Shell existent encore dans la nature.
Sur une note positive, Singh a souligné que certains fournisseurs ont rendu assez simple pour les utilisateurs à domicile la résolution de la vulnérabilité. Par exemple, pointant vers l'avis officiel de Minecraft, il a déclaré que les personnes qui jouent à l'édition Java du jeu doivent simplement fermer toutes les instances en cours d'exécution du jeu et redémarrer le lanceur Minecraft, qui téléchargera automatiquement la version corrigée.
Le processus est un peu plus compliqué et complexe si vous n'êtes pas sûr des applications Java que vous exécutez sur votre ordinateur. Hay a suggéré de rechercher des fichiers avec les extensions.jar,.ear ou.war. Cependant, il a ajouté que la simple présence de ces fichiers n'est pas suffisante pour déterminer s'ils sont exposés à la vulnérabilité log4j.
Il a suggéré aux gens d'utiliser les scripts publiés par l'équipe de préparation aux urgences informatiques (CERT) de l'Institut de génie logiciel (SEI) de l'Université Carnegie Mellon (CMU) pour rechercher la vulnérabilité sur leurs ordinateurs. Cependant, les scripts ne sont pas graphiques et leur utilisation nécessite de passer à la ligne de commande.
Tout bien considéré, Marsal pense que dans le monde connecté d'aujourd'hui, il appartient à chacun de faire de son mieux pour rester en sécurité. Singh a accepté et a conseillé aux utilisateurs de suivre les pratiques de sécurité de base des ordinateurs de bureau pour rester au courant de toute activité malveillante perpétuée en exploitant la vulnérabilité.
"[Les gens] peuvent s'assurer que leurs systèmes et appareils sont mis à jour et que les protections des terminaux sont en place", a suggéré Singh. "Cela les aiderait en cas d'alertes de fraude et de prévention contre les retombées d'exploitations sauvages."