Le bogue de l’application Log4j pourrait mettre vos sites Web préférés en danger : ce que vous devez savoir

Les spécialistes alertent que le bogue du programme Log4j pourrait entraîner des difficultés sur la route.

Getty

La découverte d’une faille de sécurité majeure dans un logiciel informatique de journalisation largement appliqué a envoyé une grande partie des entreprises technologiques se démener au cours du week-end pour mettre en place des correctifs de localisation juste avant que la vulnérabilité ne puisse être exploitée par des cybercriminels.

S’il n’est toujours pas corrigé, le bogue de la bibliothèque de journalisation Java Apache Log4j pourrait être utilisé par les cyberattaquants pour dépasser les serveurs informatiques, mettant potentiellement les entreprises les plus appréciées sur le Web, ainsi que les unités d’achat, à un risque d’échec.

Recevez le bulletin électronique de CNET Dwelling

Modernisez votre maison avec les dernières informations sur les solutions et développements immobiliers intelligents. Envoyé les mardis et jeudis.

L’une des premières attaques connues utilisant la vulnérabilité concernait le jeu d’ordinateur portable Minecraft. Les attaquants étaient capables de s’emparer de plus d’un des serveurs du jeu de création du monde avant que Microsoft, propriétaire de Minecraft, ne corrige le problème.

Le bogue est une vulnérabilité dite zero-day. Les professionnels de la sécurité n’avaient pas établi de correctif juste avant qu’il ne devienne reconnu et très probablement exploitable.

Les professionnels avertissent que la vulnérabilité est activement exploitée. L’organisation de cybersécurité Test Stage a affirmé lundi avoir détecté plus de 800 000 tentatives d’exploitation du bogue au cours des 72 premières heures, juste après qu’il soit devenu public.

“C’est évidemment l’une des vulnérabilités les plus importantes sur le net ces dernières années”, a déclaré la société dans un rapport. « Le potentiel de destruction est incalculable. »

La nouvelle a également suscité des avertissements d’officiers fédéraux qui ont exhorté les personnes touchées à réparer rapidement leurs unités ou à réparer les défauts.

“Pour être clair comme de l’eau de roche, cette vulnérabilité représente un danger intense”, a déclaré Jen Easterly, directrice de la Cybersecurity and Infrastructure Stability Company, dans une déclaration. Elle a reconnu que la faille présentait un « problème urgent » aux professionnels de la sécurité étant donné l’utilisation intensive d’Apache Log4j.

Voici ce que vous devez savoir d’autre sur la vulnérabilité Log4j.

Qui est affligé ?

La faille est très probablement désastreuse en raison de l’utilisation à grande échelle de la bibliothèque de journalisation Log4j dans toutes sortes d’entreprises et de logiciels informatiques ouverts, a déclaré Jon Clay, vice-président de l’intelligence des menaces chez Craze Micro.

La bibliothèque de journalisation est bien connue, en composant, simplement parce qu’elle est libre d’utilisation. Cette étiquette de coût s’accompagnera d’un compromis : seule une poignée de personnes la préserve aujourd’hui. Les produits et solutions payants, en revanche, sont généralement suivis d’équipes massives de développement et de protection d’applications.

Pendant ce temps, il appartient vraiment aux organisations concernées de corriger leurs logiciels informatiques avant que quelque chose de terrible ne se produise.

“Cela pourrait prendre plusieurs heures, jours ou même mois en fonction de la société”, a déclaré Clay.

Lundi, des entreprises telles qu’IBM, Oracle, AWS et Microsoft ont reçu tous les avis émis alertant leurs acheteurs du bogue, décrivant leurs progrès sur les correctifs et les exhortant à mettre en place des mises à jour de protection pertinentes dès que possible.

Les acheteurs ne sont pas en mesure de faire beaucoup plus que de mettre à jour leur équipement, leur logiciel et leurs applications lorsqu’ils y sont invités.

Pourquoi est-ce une offre importante ?

Si elle est exploitée, la vulnérabilité pourrait permettre à un attaquant d’obtenir la gestion de serveurs Web mondiaux basés sur Java et de lancer des attaques d’exécution de code à distance, ce qui pourrait lui donner le contrôle des serveurs de l’ordinateur personnel. Cela pourrait ouvrir une foule d’alternatives compromettant la stabilité.

L’organisation de cybersécurité Sophos a signalé qu’elle a tellement découvert des preuves de fonctions d’extraction de cryptographie destructrices cherchant à utiliser la vulnérabilité à leur profit. Des officiers suisses ont expliqué qu’il existe des preuves que la faille est appliquée pour déployer des botnets souvent utilisés dans les deux attaques DDoS et le cryptomining.

Les attaques de cryptomining, parfois connues sous le nom de cryptojacking, permettent aux pirates de se concentrer plus que sur un ordinateur portable ou un ordinateur avec des logiciels malveillants afin d’extraire du bitcoin ou d’autres crypto-monnaies. Les attaques DDoS, ou déni dispersé du fournisseur, impliquent l’utilisation du contrôle d’un ordinateur pour inonder un site Web de visites bidon, ahurissant le site et le mettant hors ligne.

Quelle est la direction des retombées ?

Il est vraiment trop tôt pour expliquer à.

Check Out Stage note que la nouvelle arrive juste avant le pic des vacances, lorsque les bureaux informatiques travaillent généralement avec des équipes réduites et peuvent ne pas avoir les sources pour répondre à une cyberattaque grave.

L’administration gouvernante des États-Unis a actuellement averti les entreprises d’être largement informées des ransomwares et des cyberattaques pendant les vacances, notant que les cybercriminels n’auront pas de congé et considèrent généralement la période des fêtes comme un moment attrayant pour faire grève.

Bien que Clay ait déclaré que certaines personnes commencent maintenant à qualifier Log4j de «pire piratage jamais enregistré», il pense que cela dépendra de la rapidité avec laquelle les entreprises déploieront les correctifs et réduiront les complications potentielles.

Compte tenu de l’effet cataclysmique de la faille, donc de nombreux produits et solutions logiciels adaptés maintenant, il affirme que les entreprises pourraient vouloir réfléchir à deux fois à l’utilisation de logiciels gratuits dans leurs produits.

“Il n’y a certainement aucune inquiétude que nous allons voir beaucoup plus de bugs comme celui-ci dans le potentiel”, a-t-il affirmé.