Vulnérabilité Log4J comment réagir ?
Une vulnérabilité affectant plusieurs versions de Log4j a été rendue publique le 9 décembre dernier. Toutes les bibliothèques entre 2.0 et 2.14.1 (incluse) sont impactées ainsi que la version 2.15 et 2.16 vulnérables à d’autres attaques.
La nouvelle version, Log4j 2.17.0 ne contient (pour l’instant) plus cette vulnérabilité mais pour tous ceux s’étant servis des ressources précédentes voici un article explicatif sur la nature cette faille et son impact. Il vous permettra aussi d’identifier si vous êtes à risque et, si oui, comment réagir.
Quelle est cette vulnérabilité ?
Cette vulnérabilité est présente sur la librairie Log4j principalement utilisée dans les développements Java. Cette librairie apporte des fonctions de journalisation dan s les applications et logiciels.
Sa découverte est récente sur le cloud d’Alibaba, avec de premières compromissions identifiées le 10 décembre.
La faille porte plusieurs noms, Log4Shell ou LogJam. Elle entre dans la catégorie des vulnérabilités d’exécution de code à distance.
Elle est facilement exploitable d’où son score de sévérité de 10, on trouve déjà des kits d’exploitation et des ransomwares commencent à exploiter cette vulnérabilité (Khonsari et Nemessis Kitten).
Le CERT-FR a publié une note d’information décrivant la gravité de cette vulnérabilité et son exploitation.
Quels sont les risques et impacts ?
Cette vulnérabilité a un impact sur la confidentialité et l’intégrité des données présente sur le serveur vulnérable.
Le risque principal est l’exfiltration des données présentes sur les serveurs impactés. En effet, cette faille permet à un attaquant de prendre le contrôle du serveur et ainsi de pouvoir exfiltrer des informations.
Elle lui permet aussi d’installer des outils sur le serveur pour pouvoir attaquer d’autres serveurs présents dans le même segment réseau et ainsi exploiter la vulnérabilité log4j ou toutes autres vulnérabilités présentes sur les serveurs cibles.
Comment savoir si vous êtes à risques ?
Les premières traces d’utilisation de cette vulnérabilité ont été vues le 10 décembre 2021. Il est important de reprendre les journaux de vos serveurs et firewall afin de déceler une tentative d’intrusion par l’exploitation de cette vulnérabilité.
Par rapport à vos applications métiers et outils tiers qui sont développés en Java aussi bien hébergés dans votre infrastructure que dans les clouds publics il est nécessaire d’investiguer sur l’utilisation ou non de cette librairie.
Cette librairie étant open source elle a été largement utilisée et intégrée dans diverses applications et logiciels (aussi bien des applications installées que développées en interne).
→ Liste des applications à risques .
La tâche est encore plus difficile lorsque cette librairie a été renommée ou que ses chemins d’accès sont différents des usages habituels.
Les versions de la librairie impactées par cette vulnérabilité sont log4j 2.0 à 2.14.1.
Comment réagir ?
Identifier les applications à risque :
- Recenser vos applications et logiciels (on-premise et cloud) en croisant avec les bases d’applications vulnérables.
Analyser votre système d’information pour voir si la faille a été exploitée :
- Analyse des journaux applicatifs et systèmes
- Analyse des journaux présents sur les firewall et proxy
Remédier :
- Mise à jour des applications si un correctif existe
- Modification du code applicatif
- Blocage des tentatives d’intrusions sur vos équipements s’ils le permettent.
Si vous avez des questions sur le sujet, n’hésitez pas à nous contacter via cette adresse mail :
faille-log4j@agaetis.fr
pour que nous puissions échanger !
Ressources Agaetis

