17.12.2021 - Les cybercriminels ont trouvé une nouvelle manière d'exploiter la faille de sécurité de «Log4j» pour exécuter des codes à distance (remode code execution, RCE). Ils s'en servent déjà de manière active. Le NCSC recommande donc instamment d'appliquer aussi vite que possible les correctifs de sécurité.
Mise à jour: découverte d'une nouvelle manière d'exploiter la faille de sécurité critique de «Log4j»
Mise à jour du 17 décembre 2021
Après que la découverte d'une nouvelle faille de sécurité critique (CVE-2021-45046) a été annoncée le 14 décembre 2021 à propos de la bibiothèque Java «Log4j», les cybercriminels ont trouvé une nouvelle manière d'exploiter cette vulnérabilité. La faille de sécurité est jugée critique, car elle permet l'exécution de codes à distance (remote code execution, RCE). La nouvelle méthode utilisée par les cybercriminels peut cependant être neutralisée au moyen du correctif 2.16.0, qui est à disposition depuis cette semaine. C'est pourquoi le NCSC recommande instamment, si cela n'a pas déjà été fait, d'appliquer aussi vite que possible les correctifs de sécurité et de toujours tenir à jour l'ensemble des systèmes.
La faille est déjà exploitée pour des attaques ciblées. Le NCSC n'a toutefois pas encore reçu de notification concernant la réussite d'une telle attaque.
Recommandations à l'intention des administrateurs de systèmes
Sur le blog du GovCERT, le NCSC complète régulièrement ses recommandations à l'intention des administrateurs de systèmes concernant la marche à suivre ainsi que la liste des indicateurs de compromission possible (indicators of compromise, IOC).
La fondation Apache a publié une mise à jour de la notification sur son site Internet
Recommandations à l'intention des particuliers
Veillez à ce que vos appareils (ordinateurs, tablettes, smartphones, routeurs WLAN, imprimantes, etc.) soient toujours à jour et faites une mise à jour régulière de tous les composants de système qui y sont installés.
Annonce du 13 décembre 2021
Vendredi dernier, le NCSC a reçu des annonces concernant une faille de sécurité critique dans la bibliothèque Java «Log4j». Cette dernière, largement répandue, est utilisée dans de nombreux logiciels commerciaux et en source libre.
La faille de sécurité (CVE-2021-44228 1) est considérée comme critique, car elle peut être exploitée à distance et sans authentification par un pirate informatique pour exécuter un code malveillant. Le «Common Vulnerability Scoring System» (CVSS), qui détermine le degré de gravité des failles de sécurité, estime celle-ci à 10 sur 10.
Appliquer sans attendre les correctifs de sécurité
Comme beaucoup de prestataires tiers utilisent «Log4j» dans leurs produits, ceux-ci travaillent sans relâche à l'élaboration de correctifs de sécurité. Ces dernières 48 heures, de nombreux fabricants ont publié des correctifs pour leurs produits. Nous prions les organisations et les exploitants d'infrastructures critiques nationales de vérifier sans délai la liste de logiciels qui utilisent «Log4j» et d'appliquer les correctifs nécessaires aussi vite que possible. S'il n'est pas possible d'appliquer les correctifs, nous vous recommandons de prendre toutes les mesures qui s'imposent pour éviter des dommages.
Particuliers aussi concernés
Les entreprises ne sont pas les seules à être menacées. La bibliothèque «Log4j» se trouve également dans de nombreux composants de réseau et de système utilisés dans le domaine privé. C'est pourquoi les particuliers doivent veiller à ce que leurs appareils (ordinateurs, tablettes, smartphones, routeurs WLAN, imprimantes, etc.) soient toujours à jour. Les correctifs de sécurité mis à disposition régulièrement par les fabricants doivent donc être appliqués le plus rapidement possible.
Alertes transmises aux organisations potentiellement concernées
Actuellement, le NCSC est en contact permanent avec des partenaires nationaux et internationaux au sujet de la faille. Samedi, nous avons commencé à informer les organisations potentiellement touchées en Suisse des dangers liés aux instances «Log4j» vulnérables, accessibles depuis Internet. Plusieurs infrastructures critiques nationales ont notamment été informées.
Bien que cette vulnérabilité puisse être utilisée pour lancer des attaques ciblées contre des infrastructures critiques nationales, aucune attaque de ce type n'a été communiquée au NCSC pour le moment. Les tentatives que nous avons observées jusqu'à présent ont concerné la diffusion de logiciels malveillants de masse tels que «Mirai», «Kinsing» et «Tsunami» (également connu sous le nom de Muhstik). Ces réseaux de zombies sont principalement utilisés pour lancer des attaques DDoS (Mirai, Tsunami) ou miner des cryptomonnaies (Kinsing).
Informations et recommandations
Pour les administrateurs de systèmes, le NCSC a publié sur le blog du GovCERT des recommandations sur la marche à suivre ainsi que la liste des indicateurs de compromission (indicators of compromise, IOC):
Dernière modification 17.12.2021
