Publié le 15 décembre 2021, 11:51
Les chercheurs en sécurité qui étudient l’exploit Log4Shell récemment découvert et « extrêmement mauvais » affirment l’avoir utilisé sur des appareils aussi variés que des iPhones et des voitures Tesla. Selon les captures d’écran partagées en ligne, il suffisait de changer le nom de l’appareil d’un iPhone ou d’une Tesla en une chaîne de caractères d’exploitation spéciale pour déclencher un ping des serveurs Apple ou Tesla, indiquant que le serveur à l’autre bout était vulnérable à Log4Shell.
Dans les démonstrations, les chercheurs ont changé le nom des appareils en une chaîne de caractères qui enverrait les serveurs vers une URL de test, exploitant ainsi le comportement activé par la vulnérabilité. Après la modification du nom, le trafic entrant montrait des requêtes URL provenant d’adresses IP appartenant à Apple et, dans le cas de Tesla, à China Unicom – le partenaire de services mobiles de la société pour le marché chinois. En bref, les chercheurs ont incité les serveurs d’Apple et de Tesla à visiter une URL de leur choix.
La démonstration de l’iPhone provient d’un chercheur en sécurité néerlandais ; l’autre a été téléchargée sur le dépôt anonyme Log4jAttackSurface Github.
En supposant que les images soient authentiques, elles montrent un comportement – le chargement de ressources à distance – qui ne devrait pas être possible avec un texte contenu dans un nom d’appareil. Cette preuve de concept a donné lieu à de nombreux rapports indiquant qu’Apple et Tesla sont vulnérables à cet exploit.
Si la démonstration est alarmante, son utilité pour les cybercriminels n’est pas évidente. En théorie, un attaquant pourrait héberger un code malveillant à l’URL cible afin d’infecter les serveurs vulnérables, mais un réseau bien entretenu pourrait empêcher une telle attaque au niveau du réseau. Plus généralement, rien n’indique que la méthode pourrait conduire à une compromission plus large des systèmes d’Apple ou de Tesla. (Aucune des deux entreprises n’a répondu à une demande de commentaire par courriel au moment de la publication).
En lien avec cet article :Ordinateur portable Black Friday : le prix du Chromebook HP déjà massacré sur Amazon !Néanmoins, cela rappelle la nature complexe des systèmes technologiques, qui dépendent presque toujours de code provenant de bibliothèques tierces. L’exploit Log4Shell affecte un outil Java open-source appelé log4j qui est largement utilisé pour la journalisation des événements d’application. On ne sait pas encore exactement combien de dispositifs sont touchés, mais les chercheurs estiment qu’il s’agit de millions, y compris des systèmes obscurs qui sont rarement visés par des attaques de cette nature.
On ne connaît pas toute l’étendue de l’exploitation dans la nature, mais dans un billet de blog, la plateforme de criminalistique numérique Cado a signalé avoir détecté des serveurs tentant d’utiliser cette méthode pour installer le code du botnet Mirai.
Log4Shell est d’autant plus grave qu’elle est relativement facile à exploiter. La vulnérabilité fonctionne en incitant l’application à interpréter un morceau de texte comme un lien vers une ressource distante et à essayer de récupérer cette ressource au lieu d’enregistrer le texte tel qu’il est écrit. Il suffit qu’un appareil vulnérable enregistre la chaîne de caractères spéciale dans les journaux de son application.
Cela crée un potentiel de vulnérabilité dans de nombreux systèmes qui acceptent les entrées utilisateur, puisque le texte du message peut être stocké dans les journaux. La vulnérabilité de log4j a été repérée pour la première fois dans les serveurs Minecraft, que les attaquants pouvaient compromettre en utilisant des messages de chat ; les systèmes qui envoient et reçoivent d’autres formats de messages, comme les SMS, sont également vulnérables.
Selon les tests effectués par The Verge, au moins un grand fournisseur de SMS semble être vulnérable à l’exploit. Lorsqu’ils sont envoyés à des numéros exploités par le fournisseur de SMS, les messages texte contenant le code d’exploitation déclenchent une réponse des serveurs de l’entreprise qui révèle des informations sur l’adresse IP et le nom d’hôte, ce qui suggère que les serveurs pourraient être piégés pour exécuter un code malveillant. Les appels et les courriels adressés à l’entreprise concernée sont restés sans réponse au moment de la publication.
En lien avec cet article :La Tesla Model 3 et la Model Y ont une nouvelle batterie : voici ce que cela signifieUne mise à jour de la bibliothèque log4j a été publiée afin d’atténuer la vulnérabilité, mais l’application de correctifs à toutes les machines vulnérables prendra du temps, compte tenu des difficultés liées à la mise à jour des logiciels d’entreprise à grande échelle.