Les plus grands acteurs d’Internet sont tous touchés par les critiques Log4Shell 0-day

La liste des services avec une infrastructure accessible sur Internet qui est vulnérable à une vulnérabilité critique de type « zero-day » dans l’utilitaire de journalisation open source Log4j est immense et se lit comme un whos who des plus grands noms d’Internet, notamment Apple, Amazon, Cloudflare, Steam. , Tesla, Twitter et Baidu.

La vulnérabilité, qui porte désormais le nom de Log4Shell, a été découverte jeudi après-midi, lorsque plusieurs Minecraft services et sites d’actualités ont mis en garde contre la circulation active d’un code d’attaque qui exploitait la vulnérabilité pour exécuter du code malveillant sur les serveurs et les clients exécutant le jeu le plus vendu au monde. Bientôt, il est devenu clair que Minecraft n’était que l’un des milliers de services de renom susceptibles d’être abattus par des attaques similaires.

Une compilation de captures d’écran publiées en ligne documente la façon dont certains des services cloud les plus populaires et les plus fiables au monde réagissent lorsqu’ils reçoivent des paramètres utilisés dans l’attaque. En être témoin:

Les images utilisent un service de détection de fuites du système de noms de domaine appelé dnslog.cn pour voir si le service cloud cible effectue une recherche DNS. Chaque image montre que le service accepte les connexions d’une machine contrôlée par l’attaquant (comme en témoigne le journal de connexion IP).

Normalement, taper quelque chose dans une boîte de nom d’utilisateur ne devrait jamais établir de connexions réseau externes, donc le fait que cela prouve que Log4j est utilisé ici et donc que le serveur peut être vulnérable à l’attaque d’exécution de code à distance, a expliqué le lecteur Ars skizzerz dans les commentaires ci-dessous.

Alors que les images montrent les services répondant de manière involontaire et potentiellement dangereuse à l’entrée de l’utilisateur, les services ne sont pas automatiquement vulnérables aux types d’attaques d’exécution de code qui ont compromis Minecraft les serveurs. C’est parce que ces services ont généralement plusieurs couches de défense. Si une couche échoue, des couches supplémentaires sont souvent disponibles pour atténuer ou éliminer complètement tout dommage réel.

Là encore, les images démontrent que des personnes non autorisées peuvent exploiter Log4Shell pour accéder aux serveurs de certaines des sociétés les plus puissantes du monde d’une manière qu’elles n’auraient jamais voulu. Interrogé sur l’accès aux serveurs Apple, le directeur des offres Mac de Malwarebytes, Thomas Reed, a déclaré : C’est bien pire que si des appareils individuels étaient vulnérables, et je pense que la question reste ouverte à ce stade, exactement quel type d’attaquants de données tirent probablement des services d’Apple. en ce moment même. Les représentants d’Apple n’ont pas répondu à un e-mail demandant un commentaire.

Cloudflare, quant à lui, a déclaré dans un message qu’il avait pris des mesures pour bloquer les attaques sur son réseau et contre ses clients. Le directeur de la sécurité de Cloudflare, Joe Sullivan, a déclaré que son équipe n’avait pas été en mesure de reproduire le comportement décrit dans l’image et ne reconnaissait pas les adresses IP affichées.

Minecraft a déployé vendredi un correctif.

La conclusion est qu’il est trop tôt maintenant pour dire que ces services ne sont pas vulnérables. Pour le moment, les gens doivent rester prudents et attendre les conseils des prestataires concernés.

Image de la liste par Jeffrey Coolidge / Getty Images