La Vulnérabilité Log4j Pose Un Risque De Sécurité Critique
En décembre, une vulnérabilité dans le framework de journalisation Apache open source Log4j a conduit les équipes de sécurité du monde entier à se précipiter pour sécuriser et corriger leurs systèmes. Log4j est si largement utilisé que Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency, l'a qualifié de faille de sécurité la plus grave qu'elle ait jamais vue.dans sa carrière, avertissant que les entreprises du monde entier devraient faire de la sécurisation de leurs systèmes contre la vulnérabilité une priorité urgente. Comme Log4j est une bibliothèque de journalisation Java intégrée présente dans des milliers de produits logiciels, les équipes de sécurité doivent écrire leurs propres correctifs. La faille, nommée Log4Shell, permet d'enregistrer du code Java malveillant, permettant aux mauvais acteurs d'accéder au système en question. Des attaques importantes tirant parti de la vulnérabilité ont déjà été observées, avec le gang de ransomware NightSky ciblant les entreprises via les systèmes VMWare Horizon, qui utilisent le framework Log4j. Des demandes de rançon allant jusqu'à 800 000 $ ont été signalées, démontrant à quel point les dommages pourraient être graves s'ils ne sont pas corrigés.