Minecraft et de nombreuses autres applications victimes d’une vulnérabilité critique

0

Une faille Zero Day critique a été identifiée dans Apache Log4j par un membre de l’équipe sécurité d’Alibaba Cloud. Cette vulnérabilité permet  à des attaquants de réaliser des attaques d’exécution de code à distance. D’après le CERT de Nouvelle-Zélande (CERT-NZ), cette vulnérabilité serait déjà exploitée par des attaquants.

La vulnérabilité Zero Day de Log4j exploite une combinaison de faiblesses : Consommation incontrôlée de ressources (CWE-400) ; Validation incorrecte des entrées (CWE-20) ; Désérialisation de données non fiables (CWE-502). Le résultat est une puissante vulnérabilité d’exécution de code à distance.

Il est intéressant de noter que la plateforme HackerOne a vu une augmentation de 92 % des rapports de validation d’entrée incorrecte de la part des hackers éthiques en 2021, mais les rapports pour la désérialisation de données non fiables sont moins fréquents. Lorsqu’un attaquant prend le contrôle de LDAP et/ou d’autres dispositifs JNDI, l’exploitation de ce Zero Day permet à l’attaquant de manipuler les messages de journal et/ou les paramètres des messages de journal pour exécuter du code arbitraire à partir des serveurs LDAP. Pour remédier à cette vulnérabilité, les entreprises doivent mettre à jour Log4j à la version 2.15.0.

Cette faille Zero Day démontre que les logiciels open source occupent une place de plus en plus importante au sein des surfaces d’attaque de type supply chain les plus critiques. Les logiciels open source constituent le fondement de presque toutes les infrastructures numériques modernes, sachant que la moyenne des applications utilisent 528 composants open source différents. 

La majorité des vulnérabilités open source de niveau critique découvertes en 2020 étaient présentes dans le code depuis plus de deux ans et la plupart des organisations ne sont pas en mesure de corriger facilement les failles des logiciels open source au sein des supply chain. Il est impératif de sécuriser ces logiciels souvent mal financés a fortiori pour toute organisation qui en dépend fortement.

C’est pourquoi l’Internet Bug Bounty a été créé ; sa mission est de sécuriser les logiciels libres en regroupant les fonds des partenaires commerciaux pour encourager la découverte et le signalement des vulnérabilités des projets de logiciels libres avant qu’elles ne soient exploitées. En finançant la recherche, les organisations bénéficient de la possibilité d’accroître leur capacité à améliorer la sécurité des logiciels libres .

About Author

Avatar

Senior Security Technologist chez HackerOne

Leave A Reply