Le 9 décembre 2021une vulnérabilité critique de type « zero-day » affectant la bibliothèque Log4j2 d’Apache, un utilitaire de journalisation basé sur Java, a été divulguée au monde entier et a cassé Internet.
En tant que troisième langage informatique le plus utilisé, Java est pratiquement omniprésent et sa bibliothèque Log4j2 est extrêmement populaire, avec environ 15 milliards d’appareils dans le monde exécutant actuellement Java. Le pire, c’est que Log4j est difficile à trouver et facile à exploiter, ce qui met en danger des centaines de millions d’applications, de bases de données et d’appareils basés sur Java.
L’étendue complète des risques présentés par la vulnérabilité est sans précédent, couvrant tous les types d’organisations dans tous les secteurs. En raison de la facilité de l’exploit combinée à la difficulté de découvrir la vulnérabilité au sein de votre organisation, Log4Shell est l’aiguille proverbiale dans une botte de foin.
La directrice de la Cybersecurity and Infrastructure Security Agency, Jen Easterly, a noté que Log4Shell est la vulnérabilité « la plus grave » dont elle a été témoin au cours de sa longue carrière. Elle a exhorté les chefs d’entreprise à ne pas retarder les processus de remédiation, notant que cette vulnérabilité pourrait prendre des années à être corrigée. La correction de cette vulnérabilité ne serait pas un processus simple et unique, et plusieurs méthodes de détection seraient nécessaires.
Rapide à patcher, plus rapide à exploiter
Alors que de nombreuses entreprises se préparaient à fonctionner avec un personnel informatique squelettique au cours des deux dernières semaines de 2021, les pirates et les attaquants ont vu une opportunité. Il n’a pas fallu longtemps pour que cette vulnérabilité critique de Java soit exploitée à l’état sauvage. Près d’un million de tentatives d’attaques ont été lancées en seulement 72 heures après la divulgation de la vulnérabilité.
Pire encore, dans le cadre d’une opération de collecte d’informations en cours, le célèbre groupe de piratage chinois APT41, qui a violé des agences gouvernementales locales dans au moins six États américains au cours des 10 derniers mois, a rapidement utilisé Log4Shell comme vecteur principal pour infiltrer au moins deux des systèmes informatiques des États.