Un correctif qui corrige une vulnérabilité critique dans un logiciel populaire décrit comme le pire depuis une décennie par certains a introduit au moins deux nouvelles façons pour les acteurs malveillants d’attaquer les serveurs.
La découverte de l’exploit jusque-là inconnu dans Log4J, un outil open source développé par Apache Software Foundation, a fait la une des journaux la semaine dernière. La vulnérabilité a permis aux serveurs utilisant l’utilitaire de journalisation d’exécuter n’importe quel code.
La faille a été comblée par un correctif la semaine dernière, mais elle a introduit de nouvelles vulnérabilités, comme détaillé par Ars Technica et ZDNet.
Les développeurs ont confirmé que le correctif était “incomplet dans certaines configurations autres que celles par défaut” et a donné aux attaquants la possibilité de lancer des attaques par déni de service, ce qui rend un service inaccessible. La désactivation de certaines fonctionnalités atténuerait le risque.
Un autre problème a été signalé par la société de cybersécurité Praetorian, qui a déclaré mercredi que le correctif “peut toujours permettre l’exfiltration de données sensibles dans certaines circonstances”.
Heureusement, un nouveau correctif pour l’outil a été publié plus tôt cette semaine. Cependant, il faut du temps pour que la mise à niveau soit intégrée par les entreprises dans leurs produits.
La vulnérabilité 0-day d’origine a été activement exploitée par des acteurs malveillants. Selon une estimation citée par le Financial Times, plus de 1,2 million d’attaques utilisant la faille Log4J ont été lancées depuis vendredi.
L’utilitaire est écrit en Java, un langage de programmation populaire utilisé dans de nombreux produits modernes, ce qui explique pourquoi il a été décrit comme “la vulnérabilité la plus importante et la plus critique de la dernière décennie” par la société de sécurité Tenable.
(RT.com)
