L'exploit zero-day d'Apache Log4j pourrait être utilisé par des pirates pour cibler les utilisateurs de Steam, Twitter, Amazon et d'autres plateformes

Cybersécurité des chercheurs ont récemment découvert un très grave zero-day dans la bibliothèque de journalisation Apache log4j. L'exploit peut être utilisé par des pirates pour prendre le contrôle complet de dispositifs et de serveurs exécutant tout, de iCloud et Amazon jusqu'à Twitter et Minecraft : Java Edition.

La vulnérabilité d'Apache log4j est suffisamment grave pour que des attaques de type "proof-of-concept" puissent être exécutées directement à partir du chat du jeu Minecraft : Java Edition. En dehors de Minecraft, le véritable problème est le nombre d'applications et de services populaires qui utilisent Apache log4j. Des plates-formes comme Twitter et vulnérables, aux côtés de Steam et bien d'autres.

Heureusement, la version 2.15.0 d'Apache log4j comporte un simple correctif pour atténuer la vulnérabilité. Le correctif modifie la valeur de log4j2.formatMsgNoLookups de "false" à "true", empêchant ainsi l'utilisation de l'exploit. Les serveurs sans la mise à jour de log4j restent toutefois vulnérables.

Les pirates du monde entier n'ont pas tardé à s'emparer de cet exploit. Les organismes de surveillance de la cybersécurité mondiale comme CERT rapportent que le jour zéro est exploité, les pirates recherchant activement les serveurs qui n'ont pas été mis à jour vers la version 2.15.0 d'Apache log4j.

Consultez cette offre pour McAfee Total Protection 2022 sur Amazon.