Un nouvel exploit appelé « Log4Shell » crée des problèmes majeurs pour les équipes de sécurité des grandes entreprises technologiques. Si elle est exploitée, la vulnérabilité permet aux pirates d’exécuter du code malveillant sur des serveurs vulnérables et peut affecter des plateformes telles que iCloud et Steam.
Comme détaillé par la société de sécurité LunaSec, la vulnérabilité a été trouvée pour la première fois dans log4j, une bibliothèque open source utilisée par plusieurs applications et sites Web pour la journalisation, qui consiste à conserver une liste des activités effectuées afin de les examiner plus tard pour corriger les bugs ou autres erreurs.
Selon le chercheur en sécurité Marcus Hutchins, « Log4Shell » pourrait donc affecter des millions d’applications à travers le monde, car la bibliothèque log4j est largement utilisée par les développeurs. Pour exploiter la vulnérabilité, les pirates doivent simplement enregistrer une chaîne spéciale avec des caractères spécifiques dans le registre. Étant donné que les applications enregistrent régulièrement un large éventail d’événements, tels que les messages envoyés et reçus par les utilisateurs ou les détails des erreurs système, la vulnérabilité est facile à exploiter et peut être déclenchée de différentes manières.
Par exemple, l’exploit Log4Shell a récemment été vu sur des serveurs Minecraft où des pirates ont utilisé la vulnérabilité via des messages de discussion. LunaSec affirme que l’iCloud d’Apple est également vulnérable à cet exploit. Les attaquants peuvent même activer le code malveillant via des codes QR, ce qui rend l’exploit encore plus dangereux.
Apple et d’autres sociétés n’ont pas commenté l’histoire, mais elles s’efforcent certainement déjà de rendre l’exploit inefficace.
