La surface d'attaque potentielle de Log4Shell reste importante
Log4Shell, parfois appelé en utilisant le handle Log4j, d'après le nom de la bibliothèque Apache Java dans laquelle il a été trouvé, a été qualifié de vulnérabilité logicielle de la décennie par de nombreux analystes et experts en sécurité. La vulnérabilité a été découverte à la toute fin de 2021. Quatre mois plus tard et des dizaines d'avertissements et d'alertes plus tard, à quel point le paysage informatique mondial est-il plus sûr en ce qui concerne Log4Shell ?
Rapport sur Log4Shell pas optimiste
Une équipe de chercheurs de la société de sécurité Rezilion a effectué une analyse essayant d'estimer la surface d'attaque potentielle des systèmes qui sont encore vulnérables à Log4Shell. La vulnérabilité réside dans une ancienne version de la très populaire bibliothèque de journalisation Apache, fonctionnant sur Java. Les conclusions de l'équipe de recherche Rezilion n'étaient pas encourageantes.
Comme on pouvait s'y attendre, Rezilion espérait également qu'en raison du flux incessant de couverture médiatique, d'articles et d'alertes émis à la suite de la découverte de Log4Shell, l'écrasante majorité des instances exécutant le logiciel vulnérable auraient depuis longtemps été corrigées. Cependant, les conclusions de l'équipe n'étaient pas aussi positives qu'elles l'avaient espéré.
Le rapport Rezilion sur l'analyse de la surface d'attaque potentielle qualifie la situation globale de Log4Shell de "loin d'être idéale". À l'aide du moteur Shodan spécialisé, l'équipe a scanné les versions obsolètes des logiciels et des serveurs vulnérables à Log4Shell. Le résultat a été un nombre stupéfiant de 90 000 points vulnérables, exposés à Internet. Selon l'équipe de recherche, ce nombre, même s'il est déjà important, n'est que "la pointe de l'iceberg", par rapport à ce qui est probablement la surface d'attaque potentielle totale de Log4Shell.
Les serveurs Minecraft ont été désignés comme une catégorie entièrement distincte dans le rapport de recherche, en raison de l'énorme popularité du jeu appartenant à Microsoft.
Le long jeu Log4Shell
Les acteurs de la menace ont été à l'affût quelques heures après la découverte de la vulnérabilité, sachant que le grand nombre d'appareils exécutant le framework de journalisation Java contenant la faille prendra beaucoup de temps à corriger. De nouvelles méthodes et tentatives pour aborder la vulnérabilité de différentes manières surgissaient chaque semaine depuis la découverte de la faille.
Alors que la surface d'attaque d'une vulnérabilité aussi répandue ne disparaîtra probablement jamais complètement, les chiffres restent préoccupants et d'autres tentatives d'exploitation de Log4Shell sont à prévoir dans les mois à venir.