Une vulnérabilité de sécurité zero-day de grande envergure a été découverte qui pourrait permettre l’exécution de code à distance par des acteurs néfastes sur un serveur, et qui pourrait avoir un impact sur des tas d’applications en ligne, y compris Minecraft : Java Edition, Steam, Twitter, et bien d’autres si elle est laissée non contrôlé.
L’identifiant d’exploit est CVE-2021-44228, qui est marqué comme 9,8 sur l’échelle de gravité par Red Hat mais est suffisamment récent pour qu’il soit toujours en attente d’analyse par NVD. Il se trouve dans la bibliothèque de journalisation Apache Log4j Java largement utilisée, et le danger réside dans la façon dont il permet à un utilisateur d’exécuter du code sur un serveur, prenant potentiellement le contrôle total sans accès ni autorité appropriés, grâce à l’utilisation de messages de journal.
« Un attaquant qui peut contrôler les messages de journal ou les paramètres de message de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée », indique la description de l’ID CVE.
Le problème pourrait affecter Minecraft : Java Edition, Tencent, Apple, Twitter, Amazon et bien d’autres fournisseurs de services en ligne. En effet, bien que Java ne soit plus si courant pour les utilisateurs, il est toujours largement utilisé dans les applications d’entreprise. Heureusement, Valve a déclaré que Steam n’était pas affecté par le problème.
« Nous avons immédiatement examiné nos services qui utilisent log4j et vérifié que nos règles de sécurité réseau bloquaient le téléchargement et l’exécution de code non fiable », a déclaré un représentant de Valve à PC Gamer. « Nous ne pensons pas qu’il y ait de risques pour Steam associés à cette vulnérabilité. »
En ce qui concerne un correctif, il existe heureusement quelques options. Le problème affecterait les versions de log4j entre 2.0 et 2.14.1. La mise à niveau vers Apache Log4j version 2.15 est la meilleure solution pour atténuer le problème, comme indiqué sur la page de vulnérabilité de sécurité Apache Log4j. Cependant, les utilisateurs d’anciennes versions peuvent également être atténués en définissant la propriété système « log4j2.formatMsgNoLookups » sur « true » ou en supprimant la classe JndiLookup du chemin de classe.
Si vous exécutez un serveur utilisant Apache, tel que votre propre serveur Minecraft Java, vous souhaiterez immédiatement mettre à niveau vers la nouvelle version ou corriger votre ancienne version comme ci-dessus pour vous assurer que votre serveur est protégé. De même, Mojang a publié un correctif pour sécuriser les clients de jeu des utilisateurs, et plus de détails peuvent être trouvés ici.
La sécurité des joueurs est la priorité absolue pour nous. Malheureusement, plus tôt dans la journée, nous avons identifié une faille de sécurité dans Minecraft : Java Edition. Le problème est corrigé, mais veuillez suivre ces étapes pour sécuriser votre client de jeu et/ou vos serveurs. Veuillez RT pour amplifier.https://t.co/4Ji8nsvpHf10 décembre 2021
La crainte à long terme est que, tandis que ceux qui sont au courant vont maintenant atténuer le défaut potentiellement dangereux, il y en aura beaucoup d’autres laissés dans l’ignorance qui ne le feront pas et peuvent laisser le défaut non corrigé pendant une longue période de temps.
Beaucoup craignent déjà que la vulnérabilité soit déjà exploitée, y compris CERT Nouvelle-Zélande. En tant que tel, de nombreux utilisateurs d’entreprise et de cloud se précipiteront probablement pour corriger l’impact le plus rapidement possible.
« En raison de la facilité d’exploitation et de l’étendue de l’applicabilité, nous soupçonnons les acteurs des ransomwares de commencer immédiatement à exploiter cette vulnérabilité », a déclaré la société de sécurité Randori. dans un article de blog sur la vulnérabilité.