Une vulnérabilité Java (Log4Shell) a été récemment découverte. Elle est si grave qu’elle permet à un attaquant d’exécuter à distance des commandes sur la machine exploitée. Suivie sous CVE-2021-44228 par le National Institute of Standards and Technology (NIST), la vulnérabilité affecte la bibliothèque de journalisation d’Apache, un package de serveur open source largement utilisé. La vulnérabilité compromet tout système accessible directement à partir d’un navigateur, d’un appareil mobile ou d’un appel d’interface de programmation d’application (ou API).
Alors qu’AMD a annoncé que ses produits logiciels sont à l’abri de l’exploit, Intel a répertorié jusqu’à neuf applications utilisant Java qui sont actuellement vulnérables.
- Kit de développement audio Intel
- Gestionnaire de centre de données Intel
- Exemple de plug-in de navigateur Intel oneAPI pour Eclipse
- Débogueur système Intel
- Intel Secure Device Onboard (atténuation disponible sur GitHub)
- Bibliothèque du noyau Intel Genomics
- Studio système Intel
- Outil d’annotation de vision par ordinateur maintenu par Intel
- Kit de développement du micrologiciel de la solution de capteur Intel
L’exploit du service Log4J d’Apache permet à un pirate informatique de tromper le serveur cible pour qu’il télécharge et exécute un code arbitraire (malveillant) qui peut être hébergé sur un serveur contrôlé par l’attaquant, contournant ainsi plusieurs couches de solutions de sécurité logicielle. Surtout, l’exploit ne nécessite pas d’accès physique au système. Il peut être déclenché via n’importe quel serveur disposant d’une sorte d’accès au navigateur. Cela explique pourquoi la vulnérabilité a été classée sous la valeur la plus élevée possible des directives « CVSS 3.0 » : 10. Intel travaille actuellement à fournir des versions mises à jour de ces applications qui atténuent la vulnérabilité.
AMD a annoncé qu’après enquête préliminaire, aucun de ses produits ne semble être affecté par la vulnérabilité. Cependant, compte tenu de son impact potentiel, AMD a déclaré qu’il « poursuivait son analyse ».
La situation de Nvidia est légèrement plus complexe : si vous utilisez les dernières versions pour les services et sous-services de chaque application, il n’y a actuellement aucune vulnérabilité exploitable connue. Cependant, les gestionnaires de serveurs ne proposent pas toujours les dernières mises à jour sur leurs machines, et pour ceux-ci, la société répertorie quatre produits distincts vulnérables à « Log4Shell » s’ils sont obsolètes :
De plus, Nvidia distribue ses systèmes informatiques d’entreprise DGX avec des packages Ubuntu-Linux, et les utilisateurs peuvent installer eux-mêmes le bloc de fonctionnalité Log4J d’Apache. Les systèmes sont ainsi immunisés dans leur configuration prête à l’emploi. Mais dans les cas où le service Log4J a été installé, Nvidia invite les utilisateurs à mettre à jour le service vers la dernière version, ce qui verrouille la vulnérabilité.
Quant à Microsoft, la société a publié des mises à jour de deux de ses produits ciblant cette vulnérabilité : son Azure Spring Cloud utilise certains éléments Log4J dans le processus de démarrage, le rendant vulnérable aux exploits à moins d’être mis à jour. L’application Azure DevOps de Microsoft a également reçu des mesures d’atténuation visant à annuler l’exploit.