Jeudi dernier, le monde a appris l’exploitation dans la nature d’une exécution de code critique à zéro jour dans Log4J, un utilitaire de journalisation utilisé par à peu près tous les services cloud et réseaux d’entreprise de la planète. Les développeurs open source ont rapidement publié une mise à jour qui corrigeait la faille et exhortait tous les utilisateurs à l’installer immédiatement.

Maintenant, les chercheurs signalent qu’il existe au moins deux vulnérabilités dans le correctif, publié sous le nom de Log4J 2.15.0, et que les attaquants exploitent activement l’une d’entre elles ou les deux contre des cibles du monde réel qui ont déjà appliqué la mise à jour. Les chercheurs exhortent les organisations à installer un nouveau correctif, publié en tant que version 2.16.0, dès que possible pour corriger la vulnérabilité, qui est suivie comme CVE-2021-45046.

Le correctif précédent, ont déclaré les chercheurs mardi soir, « était incomplet dans certaines configurations autres que celles par défaut » et permettait aux attaquants d’effectuer des attaques par déni de service, ce qui facilite généralement la mise hors ligne des services vulnérables jusqu’à ce que les victimes redémarrent leur serveurs ou prendre d’autres mesures.

Mercredi, des chercheurs de la société de sécurité Praetorian ont déclaré qu’il y avait une vulnérabilité encore plus grave dans 2.15.0, une faille de divulgation d’informations qui peut être utilisée pour télécharger des données à partir des serveurs concernés.

« Dans nos recherches, nous avons démontré que la 2.15.0 peut toujours permettre l’exfiltration de données sensibles dans certaines circonstances », a écrit le chercheur prétorien Nathan Sportsman. « Nous avons transmis les détails techniques du problème à la Fondation Apache, mais dans l’intervalle, nous recommandons fortement aux clients de passer à la version 2.16.0 le plus rapidement possible. »

Les chercheurs ont publié la vidéo suivante qui montre leur exploit de preuve de concept en action :

Les chercheurs du réseau de diffusion de contenu Cloudflare, quant à eux, ont déclaré mercredi que CVE-2021-45046 était désormais en exploitation active. La société a exhorté les gens à mettre à jour vers la version 2.16.0 dès que possible.

Le post de Cloudflare n’a pas dit si les attaquants utilisent la vulnérabilité uniquement pour effectuer des attaques DoS ou s’ils l’exploitent également pour voler des données. Les chercheurs de Cloudflare n’étaient pas immédiatement disponibles pour clarifier. Les chercheurs prétoriens n’étaient pas non plus immédiatement disponibles pour dire s’ils étaient au courant d’attaques dans la nature exploitant la faille d’exfiltration de données. Ils n’ont pas non plus fourni de détails supplémentaires sur la vulnérabilité car ils ne voulaient pas fournir d’informations qui permettraient aux pirates de l’exploiter plus facilement.

Un représentant de la Fondation Apache, le groupe qui gère Log4J, a déclaré qu’ils examinaient les rapports de Praetorian et Cloudflare. Cette histoire sera mise à jour si de nouvelles informations le justifient.