Le correctif logiciel pour la pire vulnérabilité de la décennie contient des exploits

Un correctif qui corrige une vulnérabilité critique dans un logiciel populaire décrit comme le pire depuis une décennie par certains a introduit au moins deux nouvelles façons pour les acteurs malveillants d’attaquer les serveurs.

La découverte de l’exploit jusque-là inconnu dans Log4J, un outil open source développé par Apache Software Foundation, a fait la une des journaux la semaine dernière. La vulnérabilité a permis aux serveurs utilisant l’utilitaire de journalisation d’exécuter n’importe quel code.

La faille a été comblée par un correctif la semaine dernière, mais elle a introduit de nouvelles vulnérabilités, comme détaillé par Ars Technica et ZDNet.

Les développeurs ont confirmé que le correctif était “incomplet dans certaines configurations autres que celles par défaut” et a donné aux attaquants la possibilité de lancer des attaques par déni de service, ce qui rend un service inaccessible. La désactivation de certaines fonctionnalités atténuerait le risque.

Un autre problème a été signalé par la société de cybersécurité Praetorian, qui a déclaré mercredi que le correctif “peut toujours permettre l’exfiltration de données sensibles dans certaines circonstances”.

Heureusement, un nouveau correctif pour l’outil a été publié plus tôt cette semaine. Cependant, il faut du temps pour que la mise à niveau soit intégrée par les entreprises dans leurs produits.

La vulnérabilité 0-day d’origine a été activement exploitée par des acteurs malveillants. Selon une estimation citée par le Financial Times, plus de 1,2 million d’attaques utilisant la faille Log4J ont été lancées depuis vendredi.

L’utilitaire est écrit en Java, un langage de programmation populaire utilisé dans de nombreux produits modernes, ce qui explique pourquoi il a été décrit comme “la vulnérabilité la plus importante et la plus critique de la dernière décennie” par la société de sécurité Tenable.

(RT.com)

Gaston Alexandre

En tant que travailleur indépendant, j’ai décidé de me lancer dans la rédaction d’articles basée sur le buzz international. Je traite ainsi différents sujets, et particulièrement ceux qui ont suscité un énorme engouement dans la société mondiale. J’écris ainsi des articles concernant les thématiques à fort caractère, c’est-à-dire qui créent un véritable impact émotionnel chez le lecteur. Le nombre d’articles que j’écris est variable au quotidien. L’objectif étant de fournir le maximum d’informations pertinentes du jour, vous pouvez alors découvrir de nombreuses publications d’une douzaine de lignes par article.
Bouton retour en haut de la page