par | 13 Déc 2021

Qu’est-ce que la vulnérabilité Apache Log4j2 (CVE-2021-44228) ?

Depuis plusieurs jours, les services informatiques du monde entier s’activent à analyser les infrastructures systèmes  dans le but de corriger la vulnérabilité Apache Log4j2 identifiée sous le numéro CVE-2021-44228.

Pour faire simple, cette vulnérabilité est associée à une bibliothèque de log “Apache Log4j” utilisée massivement dans des applications développées avec le langage Java. La vulnérabilité est si critique, que l’on parle ici de millions d’applications actuellement utilisées par les entreprises de toutes tailles, services en ligne, serveurs d’hébergement web.

Cette faille de sécurité dite 0day (inconnue de tous, même de l’éditeur lui-même) sera ensuite rebaptisée Log4Shell.

 

Pourquoi cette faille est-elle si critique ?

 

Cette faille a été notée à un indice de sévérité de 10, soit la note maximale, habituellement réservée aux vulnérabilités les plus critiques.

Comme l’a expliqué le CERT-FR dans son bulletin d’alerte, “cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifiée, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification”.

 

Comme l’a été la vulnérabilité Heartbleed en 2012, c’est ici un composant tiers qui est visé. Il est donc compliqué pour les entreprises de s’assurer de l’exhaustivité des librairies de développement utilisées dans les applications utilisées quotidiennement.

Un correctif sous la version 2.15.0 a été publié. Dans cette nouvelle version, ce comportement est maintenant désactivé.

 

Cette vulnérabilité est déjà corrigée avec le virtual patching de notre solution CyberProtection 360°.

 

Dès l’annonce de cette vulnérabilité, les équipes de sécurité de OZON ont patché virtuellement la faille au travers de la fonctionnalité de “virtual patching” de la solution CyberProtection 360°.

De ce fait, même si votre entreprise n’a pas eu le temps de corriger la vulnérabilité sur vos serveurs, notre solution CyberProtection 360° filtrera automatiquement les flux malveillants ciblant cette faille.

OZON protection cybersécurité pour CMS