=================================================================== Message d'alerte du CERT-Renater (certsvp@renater.fr) =================================================================== Bonjour, Une vulnérabilité a été découverte le 9-12-2021 dans la bibliothèque de journalisation Apache "Java library" log4j (version 2) avec comme référence CVE-2021-44228. Cette vulnérabilité permet à un attaquant une exécution de code arbitraire à distance des applications qui utilisent la bibliothèque log4j2 pour journaliser des évènements. Cette attaque peut être réalisée sans authentification. Toute application Java qui utilise log4j2 est vulnérable aux attaques. La version 2.15.0 de log4j2 contient un correctif. Les développeurs d'application utilisant log4j (version 2) devraient mettre à disposition des correctifs. Des méthodes de contournement du problème sont disponibles, notamment dans l'alerte du CISA référencée ci-dessous, si un correctif ne peut être appliqué rapidement ou dans l'attente de solution pérenne en fonction des cas. Depuis la fin de semaine dernière de nombreuses attaques sont observées sur Internet. Il est recommandé d'appliquer rapidement des mesures permettant de s'en protéger. Pour en savoir plus : Vulnérabilité dans Apache log4j (version 2) du CERT-FR: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ Liste d'IoCs : https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt Alerte CISA: CVE-2021-44228 https://nvd.nist.gov/vuln/detail/CVE-2021-44228 Référence CVE de la vulnérabilité :CVE-2021-44228 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 Remote code injection in Log4j https://github.com/advisories/GHSA-jfh8-c2jp-5v3q Remote code injection in Log4j (through pax-logging-log4j2) https://github.com/advisories/GHSA-xxfh-x98p-j8fr Cisco Critical Security Advisory: Vulnerability in Apache Log4j Library Affecting Cisco Products December 2021 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd Détails sur les exploitations de la faille et recommandations pour se protéger + des IoCs : Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package https://www.lunasec.io/docs/blog/log4j-zero-day/ Log4Shell exploited to implant coin miners: [ https://isc.sans.edu/forums/diary/Log4Shell+exploited+to+implant+coin+miners/28124/ | https://isc.sans.edu/forums/diary/Log4Shell+exploited+to+implant+coin+miners/28124/ ] RCE in log4j, Log4Shell, or how things can get bad quickly https://isc.sans.edu/forums/diary/RCE+in+log4j+Log4Shell+or+how+things+can+get+bad+quickly/28120/ Log4j / Log4Shell Followup: What we see and how to defend (and how to access our data) https://isc.sans.edu/diary/Log4j++Log4Shell+Followup%3A+What+we+see+and+how+to+defend+%28and+how+to+access+our+data%29/28122 Inside the Log4j2 vulnerability (CVE-2021-44228) https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/ Cordialement, ========================================================Serveur de référence du CERT-Renater https://services.renater.fr/ssi/ ========================================================+ CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =======================================================