L’exploit Apache Log4j peut avoir un impact sur Minecraft : Java Edition, Amazon, Twitter et bien d’autres, mais il peut être atténué.
Une vulnérabilité de sécurité zero-day de grande envergure a été découverte, qui pourrait permettre l’exécution de code à distance par des acteurs malveillants sur un serveur, et qui pourrait avoir un impact sur des tas d’applications en ligne, notamment Minecraft : Java Edition, Steam, Twitter, et bien d’autres si elle n’est pas corrigée.
L’exploit est identifié sous le nom de CVE-2021-44228, marqué 9.8 sur l’échelle de gravité par (Red Hat), mais il est assez récent pour être encore en attente d’analyse par NVD. Il se trouve dans la bibliothèque de journalisation Java Apache Log4j, largement utilisée, et le danger réside dans la façon dont il permet à un utilisateur d’exécuter du code sur un serveur – potentiellement en prenant le contrôle total sans accès ou autorité appropriés, par l’utilisation des messages de journal.
« Un attaquant qui peut contrôler les messages de journal ou les paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée », indique la (Description de l’ID CVE).
Le problème pourrait affecter Minecraft : Java Edition, Tencent, Apple, Twitter, Amazon, et bien d’autres fournisseurs de services en ligne. En effet, si Java n’est plus aussi courant pour les utilisateurs, il est encore largement utilisé dans les applications d’entreprise. Heureusement, Valve a déclaré que Steam n’était pas concerné par ce problème.
« Nous avons immédiatement examiné nos services qui utilisent log4j et vérifié que nos règles de sécurité réseau bloquaient le téléchargement et l’exécution de code non fiable », a déclaré un représentant de Valve à PC Gamer. « Nous ne pensons pas qu’il y ait de risques pour Steam associés à cette vulnérabilité ».
Quant à un correctif, il y a heureusement quelques options. Le problème toucherait les versions de log4j comprises entre 2.0 et 2.14.1. La mise à niveau vers la version 2.15 d’Apache Log4j est la meilleure solution pour atténuer le problème, comme indiqué sur la page de la vulnérabilité de sécurité d’Apache Log4j. Cependant, les utilisateurs d’anciennes versions peuvent également être protégés en définissant la propriété système « log4j2.formatMsgNoLookups » à « true » ou en supprimant la classe JndiLookup du classpath.
Si vous exécutez un serveur utilisant Apache, comme votre propre serveur Java Minecraft, vous voudrez mettre à jour immédiatement vers la nouvelle version ou patcher votre ancienne version comme ci-dessus pour vous assurer que votre serveur est protégé. De même, Mojang a publié un patch pour sécuriser les clients de jeu des utilisateurs, et de plus amples détails peuvent être trouvés (ici).
La sécurité des joueurs est notre priorité absolue. Malheureusement, plus tôt aujourd’hui, nous avons identifié une faille de sécurité dans Minecraft : Java Edition.
Le problème est corrigé, mais veuillez suivre ces étapes pour sécuriser votre client de jeu et/ou vos serveurs. S’il vous plaît RT pour amplifier.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
La crainte à long terme est que, bien que ceux qui sont au courant atténuent maintenant la faille potentiellement dangereuse, il y en aura beaucoup d’autres dans l’obscurité qui ne le feront pas et qui pourraient laisser la faille non corrigée pendant une longue période.
Beaucoup craignent déjà que la vulnérabilité soit déjà exploitée, y compris le CERT NZ. En tant que tel, de nombreuses entreprises et utilisateurs de cloud computing vont probablement se précipiter pour corriger l’impact le plus rapidement possible.
« En raison de la facilité d’exploitation et de l’étendue de l’applicabilité, nous soupçonnons les acteurs du ransomware de commencer à exploiter cette vulnérabilité immédiatement », déclare la société de sécurité Randori dans un (blog post) sur la vulnérabilité.