Une faille « zero day » touche iCloud et des centaines de services 🆕
iCloud, mais aussi Steam, Minecraft, Twitter, Cloudflare et des centaines de services et d'entreprises sont concernés par une faille « zero day » qui touche une bibliothèque Java de journalisation très populaire. La vulnérabilité, baptisée Log4Shell par les chercheurs en sécurité de LunaSec, fragilise Log4j, un outil de journalisation open-source utilisé par un grand nombre d'applications, de sites web et de services.
En fait, Log4j est omniprésent dans quasiment tous les serveurs utilisant Java. Selon plusieurs organisations dont le Computer Emergency Response Team (CERT) en Nouvelle-Zélande et celui de Deutsche Telekom, des pirates tentent actuellement d'exploiter la faille Log4Shell sur les serveurs vulnérables.
Pour le moment, aucune entreprise vulnérable n'a commenté la situation, mais il est plus que probable que ça s'agite dans les coulisses pour trouver une solution.
Mise à jour — Cloudflare nous indique qu'il n'a pas été touché par la vulnérabilité Log4j.
Nous avons 2 fois Twitter !?!? 🤪🤪
@Loustik
C’est à cause des retweets.
Y’a deux fois Twitter dans la liste ;-)
Y’a deux fois serveurs un peu plus loin !
Et Log4J c’est pour logguer pas pour se connecter (confusion avec logging/login).
Bref une news à l’arrache?
@MickaelBazoge
« Pff, ça sent la grosse fatigue du vendredi oui 😅 »
Hum…
Ça sent surtout le défonce ai sirop d’érable basé.
Y a que les canadiens pour fumer ça.
#cachetoidanstonpancake
@Bigdidou
https://64.media.tumblr.com/tumblr_mdqqckiqnU1qzgecuo5_r1_250.gifv
Hello, Log4j n'est pas un outils de connexion (login) mais un outils de journalisation (logging)
@WeetA
Bien joué mec
Du coup ça craint ou pas ?… 🥱
A priori ça craint vraiment, l'équipe ayant identifié cette vulnérabilité écrivant qu'elle permet la prise de contrôle complet du serveur et de façon très simple :
"the impact of the exploit (full server control), and how easy it is to exploit, the impact of this vulnerability is quite severe"
@r e m y
Oui faut quand même avoir une version de Java super vieille ET utiliser log4j2 sans le correctif ET logger des requêtes HTTP avec ET autoriser le serveur à sortir sur internet.
Ça comment à faire beaucoup je trouve…
Incroyable qu’Apple,Amazon, tesla entre autres soient concernés !!😱😱
Je n'en sais rien, ce n'est pas du tout mon domaine, mais les quelques serveurs qu'ils citent comme étant exposés, à commencer par iCloud, ce n'est pas rien!
@r e m y
Il y a un POC sur GitHub qui date d’il y a 9 mois. Doc si c’est exploité ça l’est déjà depuis 9 mois au minimum…
@ cybercooll
> ça l’est déjà depuis 9 mois au minimum
Si tu le dis...
@marc_os
C’est connu et exploitable depuis au moins 9 mois: https://github.com/nice0e3/log4j_POC
-
@marc_os
+
@cybercooll
/
Bien bien… alors des conseils ?.. 😬
@Kriskool
Pas de panique : j’ai téléversé ma femme dans la matrice. Les hackeurs n’ont qu’à bien se tenir 😎
@Labsyb
🥲🥲🤣🤣🤣
@Labsyb
Vous devriez faire de même avec votre belle-mère 😝
Des conseils?
Serrer les fesses... je pense que c'est le mieux qu'on puisse faire 😵💫
Imagine que des hackers prennent le contrôle des serveurs iCloud et désactivent tous les comptes, ou croisent les synchronisations entre comptes, ou effacent aléatoirement des données... bonjour le souk mondial!
Une belle occasion de prendre conscience de notre dépendance absolue à ces serveurs que l'on préfère croire inattaquables
@r e m y
A choisir c’est plus interessant de commencer avec Amazon Twitter et tesla si tu veux jouer…
Sauf que c'est iCloud qui est expressément cité comme affecté par cette faille. Ça pourrait attirer les malandrins en mal d'exploit retentissant...
Surtout si Apple gère cette faille comme à son habitude, avec beaucoup de désinvolture. (Ils n'ont d'ailleurs toujours rien communiqué sur le sujet)
@r e m y
franchement entre le POC facile à déclencher et arriver à exécuter du code à distance il y a un monde. Les versions de Java concernées ont plus de 4 ans!
Tout ça me paraît très exagéré. Et ça se corrige avec une pauvre variable d’environnement et un redémarrage du service.
Mais ça met en évidence que personne ne sécurise les appels sortant de ses serveurs.
Ok je prends ma pilule bleue ! 🔵
@Kriskool
Je ne suis pas sûr que prendre du Viagra aide dans le cas présent 🤔
À lire par ceux qui croient toujours à la sécurité informatique.
@Giloup92
Comme souvent ce sont des gens qui vendent des services de sécurité qui ont trouvé la faille.
Édit: En fait non, c’est un gars d’Alibaba qui a trouvé ça.
Pas la peine de paniquer il faut juste mettre à jour la lib en question. Donc dans la plupart des cas ça devrait pouvoir se faire simplement…
J’ai du m’en occuper aujourd’hui 🙂, mais j’avais pas réalisé à quel point autant de services étaient impactés.
Et ça ne concerne que les versions 2.x de lib4j, pas les versions 1.x.
BackBlaze a déconnecté ses serveurs le temps de faire l'installation des patchs de sécurité.
Le site principal redirige directement vers un article du support expliquant que ça va durer plusieurs heures.
Eh bah , dans la pratique je suis une bille là , j'utilise iCloud pour mes appareils, y a tout de synchro dessus, j'ai des sauvegardes physiques.
Donc il y a une action à faire de notre part ? Faut il se déconnecter d'iCloud en attendant la résolution ?
Merci
@Filou96
Non, pas vraiment d’intérêts
Cloudflare a même déployé automatiquement 3 patch sur ses WAF pour protéger ses clients : Log4j Headers, Log4j Body et url
Ah bravo le site lunasec.io !
La page ciblée par le lien que vous donnez pour plus d'info sur Log4Shell utilise des références vers des trucs dont les certificats ne sont pas valides...
Failed to load resource: The certificate for this server is invalid. You might be connecting to a server that is pretending to be “sa.lunasec.io” which could put your confidential information at risk.
C'est marrant... Je n'y connais rien, donc je n'ai pas d'opinion.
Mais les commentaires chez MacGé d'une part et Arstechnica/The Verge d'autre part, sont à 180°...
Dans le premier cas (ici) c'est du genre "bof, pas de panique, suffit de corriger une pauvre variable d'environnement, faut juste mettre à jour une lib,..." et de l'autre côté (là-bas) c'est nettement plus la panique et ça n'a pas l'air si simple...
Aux oiseaux de mauvaise augure.
L'article de Arstechnica dit ceci au sujet de la vulnérabilité de la page web de connexion comme celle d'iCloud :
"While [they] show the services responding in unintended and potentially dangerous ways to the user input, the services aren’t automatically vulnerable to the types of code-execution attacks that compromised Minecraft servers. That’s because these services typically have multiple layers of defense. If one layer fails, additional layers are often available to lessen or completely eliminate any real damage."
En d'autres termes, en général il y a plusieurs couches de sécurité. Et si l'une de ces couches est compromise comme c'est le cas ici, cela ne veut pas dire qu'une attaque pourra fonctionner comme ça a été le cas avec les serveurs de Minecraft.
@marc_os
Cette faille prouve surtout que les dev mettent n’importe quoi dans leurs logs. Quelle idée de logger des headers. Et pourquoi donc Amazon fait-il un log pour chaque recherche?
Pour ceux que ça intéresse on peut se servir de la faille pour corriger la faille 😁
https://github.com/Cybereason/Logout4Shell