[ad_1]
Les chercheurs en sécurité qui enquêtent sur l’exploit Log4Shell récemment découvert et « extrêmement mauvais » affirment l’avoir utilisé sur des appareils aussi variés que les iPhones et les voitures Tesla. Par captures d’écran partagées en ligne, changer le nom de l’appareil d’un iPhone ou Tesla en une chaîne d’exploit spéciale était suffisant pour déclencher un ping des serveurs Apple ou Tesla, indiquant que le serveur à l’autre extrémité était vulnérable à Log4Shell.
Lors des démonstrations, les chercheurs ont changé les noms des appareils en une chaîne de caractères qui enverrait les serveurs à une URL de test, exploitant le comportement permis par la vulnérabilité. Après le changement de nom, le trafic entrant a montré des demandes d’URL provenant d’adresses IP appartenant à Apple et, dans le cas de Tesla, à China Unicom, le partenaire de service mobile de l’entreprise pour le marché chinois. En bref, les chercheurs ont incité les serveurs Apple et Tesla à visiter une URL de leur choix.
La démonstration de l’iPhone est venue d’un chercheur néerlandais en sécurité ; l’autre a été téléchargé sur le référentiel anonyme Log4jAttackSurface Github.
En supposant que les images soient authentiques, elles montrent un comportement – le chargement de ressources à distance – qui ne devrait pas être possible avec du texte contenu dans un nom de périphérique. Cette preuve de concept a conduit à de nombreux rapports selon lesquels Apple et Tesla sont vulnérables à l’exploit.
Bien que la démonstration soit alarmante, on ne sait pas à quel point elle serait utile pour les cybercriminels. En théorie, un attaquant pourrait héberger du code malveillant sur l’URL cible afin d’infecter des serveurs vulnérables, mais un réseau bien entretenu pourrait empêcher une telle attaque au niveau du réseau. Plus généralement, rien n’indique que la méthode pourrait conduire à un compromis plus large des systèmes d’Apple ou de Tesla. (Aucune des deux sociétés n’a répondu à une demande de commentaires par courrier électronique au moment de la publication.)
Pourtant, c’est un rappel de la nature complexe des systèmes technologiques, qui dépendent presque toujours du code extrait de bibliothèques tierces. L’exploit Log4Shell affecte un outil Java open source appelé log4j qui est largement utilisé pour la journalisation des événements d’application ; bien qu’on ne sache toujours pas exactement combien d’appareils sont touchés, mais les chercheurs estimer qu’il est dans les millions, y compris des systèmes obscurs qui sont rarement la cible d’attaques de cette nature.
L’étendue totale de l’exploitation dans la nature est inconnue, mais dans un article de blog, la plate-forme d’investigation numérique Cado a signalé avoir détecté des serveurs essayant d’utiliser cette méthode pour installer le code du botnet Mirai.
Log4Shell est d’autant plus sérieux qu’il est relativement facile à exploiter. La vulnérabilité fonctionne en incitant l’application à interpréter un morceau de texte comme un lien vers une ressource distante et à essayer de récupérer cette ressource au lieu d’enregistrer le texte tel qu’il est écrit. Tout ce qui est nécessaire est qu’un périphérique vulnérable enregistre la chaîne de caractères spéciale dans ses journaux d’application.
Cela crée un potentiel de vulnérabilité dans de nombreux systèmes qui acceptent les entrées de l’utilisateur, car le texte du message peut être stocké dans les journaux. La vulnérabilité log4j a été repérée pour la première fois dans Minecraft serveurs, que les attaquants pourraient compromettre en utilisant des messages de discussion ; et les systèmes qui envoient et reçoivent d’autres formats de messages comme les SMS sont clairement également sensibles.
Au moins un des principaux fournisseurs de SMS semble être vulnérable à l’exploit, selon des tests menés par Le bord. Lorsqu’ils sont envoyés à des numéros exploités par le fournisseur de SMS, les messages texte contenant un code d’exploitation ont déclenché une réponse des serveurs de l’entreprise qui a révélé des informations sur l’adresse IP et le nom d’hôte, suggérant que les serveurs pourraient être amenés à exécuter du code malveillant. Les appels et les courriels à l’entreprise touchée n’avaient pas reçu de réponse au moment de la publication.
Une mise à jour de la bibliothèque log4j a été publiée pour atténuer la vulnérabilité, mais la mise à jour de toutes les machines vulnérables prendra du temps étant donné les défis de la mise à jour des logiciels d’entreprise à grande échelle.
[ad_2]