Log4Shell peut pirater votre iPhone d’Apple et même une Tesla

Maintenant que le chat Log4Shell est sorti du sac, les chercheurs expérimentent toutes les façons uniques dont l’exploit pourrait être utilisé dans la nature.

Il s’agit de deux illustrations modernes montrant comment la vulnérabilité de l’outil Java open source Log4j pourrait être utilisée sur un Iphone, une voiture ou un camion Tesla, pour compromettre la communication entre le serveur et les terminaux.

Un chercheur néerlandais a montré comment la modification de l’identité de l’iPhone en une chaîne de personnes pouvait empêcher le serveur de l’autre d’essayer d’accéder à une URL distincte. L’exact a été terminé avec un véhicule à moteur Tesla par un mystérieux chercheur, qui a publié ses résultats sur le référentiel anonyme Log4jAttackSurface Github.

Des dangers croissants

Théoriquement, un acteur malveillant pourrait héberger un logiciel malveillant sur un serveur puis, en modifiant le titre d’un iPhone d’Apple, pourrait faire pression sur les serveurs d’Apple pour qu’ils saisissent l’URL de ce serveur et téléchargent le logiciel malveillant.

C’est loin d’être le cas, car toute communauté bien entretenue serait capable d’éviter ce genre d’agression avec une relative facilité. De plus, il n’y a aucun indicateur que ces types d’approche pourraient diriger vers un compromis plus large de ces entreprises, The Verge défini encore plus loin.

Vulnérabilité vraiment forte

Log4Shell est l’identification de l’exploit récemment découvert dans le périphérique Java Log4j qui, selon certains scientifiques, gère des centaines de milliers d’équipements pour des raisons de journalisation des incidents.

Jen Easterly, la directrice de l’Agence américaine de protection de la cybersécurité et des infrastructures (CISA) a expliqué que la faille était « l’une des plus graves » dont elle ait été témoin dans l’exercice de sa profession, « sinon la plus grave ».

“Nous comptons sur la vulnérabilité pour être grandement exploitée par des acteurs avancés et nous avons un minimum de temps pour prendre les mesures essentielles afin de réduire les risques de dommages”, a expliqué Easterly.

Il est suivi comme CVE-2021-44228 et permet aux acteurs malveillants d’exploiter presque n’importe quel code. Les compétences attendues pour tirer parti de la faille sont assez minimes, ont averti les spécialistes, exhortant absolument tout le monde à patcher Log4j aussi rapidement que possible.

Les entreprises qui appliquent Log4j dans leur logiciel devraient le mettre à jour rapidement vers le modèle 2.15 le plus récent, accessible depuis Maven Central.

Vous pouvez également consulter notre liste des pare-feux les plus efficaces actuellement disponibles.

Passant par: Le bord