Le week-end dernier était un mauvais moment pour être administrateur de serveur. Une vulnérabilité critique est apparue dans Apache Log4j. Le gros problème ? Les attaquants ont la possibilité d'exploiter le package Java open source que toutes sortes d'applications, de Twitter à iCloud, utilisent pour exécuter n'importe quel code choisi par un attaquant.
C'est aussi effrayant que cela puisse paraître.
Ce que l'exploit Apache Log4j signifie pour vous et moi
J'ai parlé avec le chercheur en cybersécurité John Hammond de Huntress Labs de l'exploit et de la bousculade qui a suivi pour atténuer les dégâts. Hammond a recréé l'exploit sur un serveur Minecraft pour sa chaîne YouTube, et les résultats ont été explosifs.
Q : Quel est cet exploit ? Pouvez-vous expliquer ce qui se passe en termes simples ?
R : Cet exploit permet à de mauvais acteurs de prendre le contrôle d'un ordinateur avec une seule ligne de texte. En termes simples, un fichier journal récupère une nouvelle entrée mais se trouve être en train de lire et d'exécuter des données à l'intérieur du fichier journal. Avec une entrée spécialement conçue, un ordinateur victime pourrait atteindre et se connecter à un appareil malveillant distinct pour télécharger et exécuter toutes les actions néfastes que l'adversaire a préparées.
Q : A-t-il été difficile de reproduire cet exploit dans Minecraft ?
R : Cette vulnérabilité et cet exploit sont simples à mettre en place, ce qui en fait une option très attrayante pour les mauvais acteurs. j'ai présenté une présentation vidéo montrant comment cela a été recréé dans Minecraft, et le « point de vue de l'attaquant » prend peut-être 10 minutes à mettre en place s'il sait ce qu'il fait et ce dont il a besoin.
Q : Qui est concerné par cela ?
A: En fin de compte, tout le monde est affecté par cela d'une manière ou d'une autre. Il y a une probabilité extrêmement élevée, presque certaine, que chaque personne interagisse avec un logiciel ou une technologie qui a cette vulnérabilité cachée quelque part.
Nous avons vu des preuves de la vulnérabilité de choses comme Amazon, Tesla, Steam, même Twitter et LinkedIn. Malheureusement, nous verrons l'impact de cette vulnérabilité pendant très longtemps, alors que certains logiciels hérités peuvent ne pas être maintenus ou pousser des mises à jour ces jours-ci.
Q : Que doivent faire les parties concernées pour assurer la sécurité de leurs systèmes ?
R : Honnêtement, les individus doivent rester conscients des logiciels et des applications qu'ils utilisent, et même faire une simple recherche Google pour "[nom du logiciel] log4j" et vérifier si ce fournisseur ou fournisseur a partagé des avis pour les notifications concernant ce nouveau menace.
Cette vulnérabilité bouleverse tout le paysage Internet et de la sécurité. Les utilisateurs doivent télécharger les dernières mises à jour de sécurité de leurs fournisseurs dès qu'elles sont disponibles et rester vigilants sur les applications qui attendent toujours une mise à jour. Et bien sûr, la sécurité se résume toujours aux principes de base que vous ne pouvez pas oublier : lancez un antivirus solide, utilisez des mots de passe longs et complexes (un gestionnaire de mots de passe numérique est fortement recommandé !), et soyez particulièrement attentif à ce qui est présenté dans devant vous sur votre ordinateur.
Recommandé par nos rédacteurs
Vous aimez ce que vous lisez ? Vous allez adorer qu'il soit livré dans votre boîte de réception chaque semaine. Inscrivez-vous à la newsletter SecurityWatch.
Flics + courtiers en données = lacunes juridiques
Les criminels des vieux films ont toujours su contourner le bon et le mauvais côté de la loi. Si un policier menaçait de défoncer leur porte, ils se contenteraient de sourire et de dire : « Oh ouais ? Revenez avec un mandat.
Dans la réalité d'aujourd'hui, la police n'a pas besoin de se soucier d'obtenir un mandat pour vos données si elle peut acheter les informations auprès d'un courtier en données. Maintenant, nous ne sommes pas du genre à idéaliser le non-respect de la loi, mais nous n'aimons pas non plus les éventuels abus de pouvoir.
Comme l'écrit Rob Pegoraro de PCMag, les courtiers en données fournissent aux forces de l'ordre et aux agences de renseignement des moyens de contourner le quatrième amendement en permettant la vente d'informations collectées sur des citoyens privés. Le FBI a signé un contrat avec un courtier en données pour des "activités de pré-enquête" dans un exemple.
Grâce aux politiques de confidentialité alambiquées des applications et aux conditions générales des courtiers de données, le citoyen américain moyen ne sait probablement pas comment les données de localisation de son téléphone entrent dans une base de données des forces de l'ordre. Est-ce que ça te dérange? Si c'est le cas, il est temps de prendre les choses en main et d'arrêter la collecte de données à la source. Utilisez les fonctionnalités de confidentialité de l'emplacement proposées par Apple et Google pour garder votre emplacement secret de votre apps. iOS permet aux utilisateurs d'empêcher toute application de connaître leur emplacement, et Android 12 de Google ajoute des contrôles similaires.
Que se passe-t-il d'autre dans le monde de la sécurité cette semaine ?
Vous aimez ce que vous lisez ?
Inscrivez-vous Veille de sécurité newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.
Cette newsletter peut contenir des publicités, des offres ou des liens d'affiliation. L'abonnement à une newsletter indique votre consentement à notre Conditions d’utilisation ainsi que Politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba