Faille de sécurité critique dans la bibliothèque Java «Log4j»
À la fin de la semaine dernière, une faille dite «zero day» a été découverte dans la bibliothèque Java «Log4j», largement répandue. Cette faille de sécurité est considérée comme critique, car la bibliothèque concernée est implantée dans de nombreuses applications Java.
Vendredi dernier, le NCSC a reçu des annonces concernant une faille de sécurité critique dans la bibliothèque Java «Log4j». Cette dernière, largement répandue, est utilisée dans de nombreux logiciels commerciaux et en source libre.
La faille de sécurité (CVE-2021-44228 1) est considérée comme critique, car elle peut être exploitée à distance et sans authentification par un pirate informatique pour exécuter un code malveillant. Le «Common Vulnerability Scoring System» (CVSS), qui détermine le degré de gravité des failles de sécurité, estime celle-ci à 10 sur 10.
Appliquer sans attendre les correctifs de sécurité
Comme beaucoup de prestataires tiers utilisent «Log4j» dans leurs produits, ceux-ci travaillent sans relâche à l’élaboration de correctifs de sécurité. Ces dernières 48 heures, de nombreux fabricants ont publié des correctifs pour leurs produits. Le NCSC prie les organisations et les infrastructures critiques nationales de vérifier sans délai la liste de logiciels qui utilisent «Log4j» et d’appliquer les correctifs nécessaires aussi vite que possible. S’il n’est pas possible d’appliquer les correctifs, il est recommondé de prendre toutes les mesures permettant de limiter l’ampleur des dégâts.
Particuliers aussi concernés
Les entreprises ne sont pas les seules à être menacées. La bibliothèque «Log4j» se trouve également dans de nombreux composants de réseau et de système utilisés dans le domaine privé. C’est pourquoi les particuliers doivent veiller à ce que leurs appareils (ordinateurs, tablettes, smartphones, routeurs WLAN, imprimantes, etc.) soient toujours à jour. Les correctifs de sécurité mis à disposition régulièrement par les fabricants doivent donc être appliqués le plus rapidement possible.
Alertes transmises aux organisations potentiellement concernées
Samedi, le NCSC a commencé à informer les organisations potentiellement touchées en Suisse des dangers liés aux instances «Log4j» vulnérables, accessibles depuis Internet. Plusieurs infrastructures critiques nationales ont notamment été informées.
Bien que cette vulnérabilité puisse être utilisée pour lancer des attaques ciblées contre des infrastructures critiques nationales, aucune attaque de ce type n’a été communiquée au NCSC pour le moment. Les tentatives que le NCSC a observées jusqu’à présent ont concerné la diffusion de logiciels malveillants de masse tels que «Mirai2», «Kinsing3» et «Tsunami3» (également connu sous le nom de Muhstik). Ces réseaux de zombies sont principalement utilisés pour lancer des attaques DDoS (Mirai, Tsunami) ou miner des cryptomonnaies (Kinsing).
Informations et recommandations
Pour les administrateurs de systèmes, le NCSC a publié sur le blog du GovCERT des recommandations sur la marche à suivre ainsi que la liste des indicateurs de compromission (indicators of compromise, IOC):
