Le 10 décembre 2021, une faille de sécurité majeure nommée CVE-2021-44228 a été rapportée.
Cette faille de sécurité est présente dans une librairie de code JAVA nommé log4j qui peut se trouver à la fois dans des logiciels développés par des firmes reconnues ainsi que par des développeurs indépendants. Lorsque cette faille est exploitée, des tiers peuvent prendre le contrôle et exécuter une multitude de requêtes malveillantes sur l'infrastructure TI affecté.
Devant l'ampleur de cette faille de sécurité, les gouvernements du Québec, du Canada ainsi que d'autres à travers le monde ont fermé temporairement leurs sites internet dont leurs serveurs utilisaient cette librairie de code: https://www.lapresse.ca/affaires/2021-12-12/faille-de-securite/quebec-et-ottawa-ferment-des-sites-et-services-internet-gouvernementaux.php Nous surveillons la situation de très près et nous allons procéder à l'analyse des infrastructures de nos clients dont nous offrons un service géré.Selon les mises à jour de la communauté et les informations que nous recevrons sur cette situation, nous communiquerons avec ceux qui auront besoin d'apporter des correctifs pour contrer cette faille de sécurité.
Selon les informations que nous connaissons à ce jour, des correctifs doivent être appliqués pour toutes entreprises utilisant les produits des firmes suivantes : VMWARE, APPLE, UNIFI & APACHE.
Voici une liste des plateformes, connues à ce jour, qui sont affectées par cette vulnérabilité : https://github.com/YfryTchsGD/Log4jAttackSurface
Nous vous invitons à vous abonner à notre liste de distribution de l'état de nos services pour rester informé de l'évolution de cette situation : http://status.connextek.ca Une vulnérabilité a été découverte dans la bibliothèque de journalisation Apache log4j. Cette bibliothèque est très souvent utilisée dans les projets de développement d'application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifiée, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification.
Des preuves de concept ont déjà été publiées et des codes d'exploitation sont susceptibles d'être rapidement développés.
Nous vous partageons ici un article du journal "Le monde" qui vulgarise bien cette faille: https://www.lemonde.fr/pixels/article/2021/12/10/une-importante-faille-de-securite-decouverte-met-en-danger-de-nombreux-serveurs-sur-internet_6105590_4408996.html
Un outil de notre partenaire "Huntress Labs" est publiquement partagé pour vérifier si l'un de vos systèmes/logiciels informatiques est affecté par cette vulnérabilité : https://log4shell.huntress.com/?utm_content=190760318&utm_medium=social&utm_source=linkedin&hss_channel=lcp-10172550 En cas de doute, nous vous invitons à prendre contacte avec nous.
Communiqué de la firme de Cybersécurité Huntress Labs (traduite de l'anglais) Notre équipe enquête actuellement sur CVE-2021-44228, une vulnérabilité critique qui affecte un package de journalisation Java log4j qui est utilisé dans une quantité importante de logiciels, notamment Apache, Apple iCloud, Steam, Minecraft et autres. Huntress découvre activement les effets de cette vulnérabilité et mettra fréquemment à jour cette page.
Si votre organisation utilise la bibliothèque log4j, vous devez immédiatement effectuer une mise à niveau vers log4j-2.1.50.rc2. Assurez-vous que votre instance Java est à jour ; Cependant, il convient de noter qu'il ne s'agit pas d'une solution globale. Vous devrez peut-être attendre que vos fournisseurs envoient des mises à jour de sécurité pour leurs produits concernés.
Le package log4j peut être associé à un logiciel que vous utilisez fourni par un fournisseur donné. Dans ce scénario, malheureusement, les fournisseurs eux-mêmes devront pousser les mises à jour de sécurité en aval. Lorsque vous évaluez votre propre modèle de risque et de menace, veuillez considérer les composants du logiciel que vous utilisez et en particulier ce qui peut être accessible au public.
Un autre membre de la communauté MSP, Tom Lawrence, avait confirmé et informé Huntress que la plate-forme du contrôleur UniFi était vulnérable. Si vous utilisez cette technologie, nous vous invitons à passer à la version corrigée 6.5.54 dès que possible.