D’abord repérée le 24 novembre dernier par une équipe de sécurité d’Alibaba Cloud, la vulnérabilité Zero-Day référencée sous le code CVE-2021-44228 a été officiellement signalée par l’éditeur Apache le jeudi 9 décembre.
La vulnérabilité porte sur le composant logiciel de journalisation Log4J, un composant très présent dans de nombreuses applications utilisant le langage Java.
TheGreenBow en tant qu’éditeur de logiciel de cybersécurité s’est immédiatement mobilisé pour évaluer l’impact de la découverte de cette faille sur ses produits.
Pas d’impact pour les produits TheGreenBow
Après un audit d’impact sur ses produits concernant la vulnérabilité CVE-2021-44228 (Log4Shell), TheGreenBow est en mesure de confirmer ne pas exploiter la bibliothèque Log4j. Par conséquent, cette vulnérabilité n’est applicable à aucun de nos produits (Clients VPN ou bien Serveur d’activation de licence).
En quoi consiste cette faille ?
Cette faille, baptisée « Log4Shell », préoccupe énormément les RSSI car elle est potentiellement présente dans de nombreux systèmes d’information via des logiciels de bureautique, des serveurs ou des systèmes embarqués. Par conséquent elle peut prendre du temps à être identifiée et donc à être corrigée.
L’exploitation de cette vulnérabilité permet d’exécuter un code malveillant sur un serveur utilisant la bibliothèque Log4j. Dans le pire des cas, l’attaquant pourra prendre le contrôle complet du serveur en tant qu’administrateur sans nécessité d’authentification avec l’idée de s’introduire dans le réseau, voler des informations sensibles ou encore de lancer une attaque par déni de service.
L’ANSSI dans son communiqué du 16 décembre confirme une exploitation active de la faille Log4Shell. Une course contre la montre est donc engagée avec les cybercriminels.
Pour en savoir plus sur Log4Shell
- Bulletin de sécurité Apache du 9 décembre 2021 : ici
- Communication officielle de l’ANSSI : communiqué de presse officiel de l’ANSSI
- Pour vous tenir au courant, nous vous recommandons de suivre le bulletin d’alerte du CERT-FR qui est régulièrement mis à jour ici
- Enfin des listes de GitHub faisant état des logiciels et services concernés :