13.12.2021 - À la fin de la semaine dernière, une faille dite «zero day» a été découverte dans la bibliothèque Java «Log4j», largement répandue. Cette faille de sécurité est considérée comme critique, car la bibliothèque concernée est implantée dans de nombreuses applications Java. De plus, la faille permet aux pirates informatiques d'exécuter des codes à distance («Remote Code Execution», RCE). Des cybercriminels l'exploitent déjà activement afin d'infecter des systèmes vulnérables avec des logiciels malveillants. Le NCSC recommande d'appliquer aussi vite que possible les correctifs de sécurité.
Vendredi dernier, le NCSC a reçu des annonces concernant une faille de sécurité critique dans la bibliothèque Java «Log4j». Cette dernière, largement répandue, est utilisée dans de nombreux logiciels commerciaux et en source libre.
La faille de sécurité (CVE-2021-44228 1) est considérée comme critique, car elle peut être exploitée à distance et sans authentification par un pirate informatique pour exécuter un code malveillant. Le «Common Vulnerability Scoring System» (CVSS), qui détermine le degré de gravité des failles de sécurité, estime celle-ci à 10 sur 10.
Appliquer sans attendre les correctifs de sécurité
Comme beaucoup de prestataires tiers utilisent «Log4j» dans leurs produits, ceux-ci travaillent sans relâche à l'élaboration de correctifs de sécurité. Ces dernières 48 heures, de nombreux fabricants ont publié des correctifs pour leurs produits. Nous prions les organisations et les infrastructures critiques nationales de vérifier sans délai la liste de logiciels qui utilisent «Log4j» et d'appliquer les correctifs nécessaires aussi vite que possible. S'il n'est pas possible d'appliquer les correctifs, nous vous recommandons de prendre toutes les mesures permettant de limiter l'ampleur des dégâts.
Particuliers aussi concernés
Les entreprises ne sont pas les seules à être menacées. La bibliothèque «Log4j» se trouve également dans de nombreux composants de réseau et de système utilisés dans le domaine privé. C'est pourquoi les particuliers doivent veiller à ce que leurs appareils (ordinateurs, tablettes, smartphones, routeurs WLAN, imprimantes, etc.) soient toujours à jour. Les correctifs de sécurité mis à disposition régulièrement par les fabricants doivent donc être appliqués le plus rapidement possible.
Alertes transmises aux organisations potentiellement concernées
Actuellement, le NCSC est en contact permanent avec des partenaires nationaux et internationaux au sujet de la faille. Samedi, nous avons commencé à informer les organisations potentiellement touchées en Suisse des dangers liés aux instances «Log4j» vulnérables, accessibles depuis Internet. Plusieurs infrastructures critiques nationales ont notamment été informées.
Bien que cette vulnérabilité puisse être utilisée pour lancer des attaques ciblées contre des infrastructures critiques nationales, aucune attaque de ce type n'a été communiquée au NCSC pour le moment. Les tentatives que nous avons observées jusqu'à présent ont concerné la diffusion de logiciels malveillants de masse tels que «Mirai», «Kinsing» et «Tsunami» (également connu sous le nom de Muhstik). Ces réseaux de zombies sont principalement utilisés pour lancer des attaques DDoS (Mirai, Tsunami) ou miner des cryptomonnaies (Kinsing).
Informations et recommandations
Pour les administrateurs de systèmes, le NCSC a publié sur le blog du GovCERT des recommandations sur la marche à suivre ainsi que la liste des indicateurs de compromission (indicators of compromise, IOC):
Dernière modification 13.12.2021