Le 10 décembre 2021, coup de tonnerre dans le petit monde de Java. Une grave faille de sécurité, baptisée « Log4Shell », a été détectée dans Apache Log4j
Cette faille n’affecte pas seulement les applications et services basés sur Java utilisant directement la librairie, mais aussi de nombreux autres composants Java et framework populaires qui en dépendent, notamment Apache Struts2, Solr, Druid, Flink, ElasticSearch, Kafka et bien d’autres. Et comme la bibliothèque en question fait partie des briques applicatives mises à la disposition de tous les développeurs, ceux-ci l’intègrent sans forcément le savoir et sans arrière-pensée. Il s’agit d’une porte d’entrée rêvée pour des attaquants, comme les opérateurs de ransomware.
Plus d’un mois plus tard, et après de multiples correctifs proposés par Apache, la CISA, l’agence américaine de cybersécurité et de sécurité des infrastructures, se veut rassurante. Lors d’un point presse, le 13 janvier dernier, son directeur, Jen Easterly, a affirmé : « Nous avons surveillé activement les acteurs de la menace les plus susceptibles d’exploiter la vulnérabilité, et pour le moment, son exploitation n’est pas mise en évidence dans des intrusions importantes. » Son adjoint, Eric Goldstein, précisait tout de même constater « une certaine prévalence de ce que nous appellerions des activités de bas niveau, comme la mise en route d’un minage de cryptomonnaie et l’installation de logiciels malveillants qui pourraient être utilisés dans des botnets. » Toutefois, même faibles pour l’instant, ces activités démontrent que la faille n’est pas anodine. Si ce n’est déjà fait, les équipes informatiques doivent traquer – en interne comme vis-à-vis de la clientèle – tous les services et applications utilisant Log4j ou l’un des composants qui en dépend et s’assurer que les patchs correctifs y ont été appliqués. Et vérifier que les prestataires cloud utilisés par l’entreprise ont, eux aussi, colmaté leur version.