Il est probable que la vulnérabilité Log4Shell continuera à être exploitée, car les entreprises manquent de visibilité sur leur chaîne d'approvisionnement logicielle.

Les groupes comme Lazarus en Corée du Nord restent très actifs dans l'exploitation des failles Log4Shell. (Crédit FBI)

Un an après l'application de correctifs, et malgré l'attention dont elle a bénéficié, la vulnérabilité critique Log4Shell, qui a touché des millions d'applications d'entreprise, demeure une cause fréquente de failles de sécurité, et elle devrait rester une cible privilégiée pendant un certain temps encore. Son impact durable souligne les risques majeurs posés par les failles dans les dépendances logicielles transitives et la nécessité pour les entreprises d'adopter de toute urgence des pratiques d'analyse de la composition des logiciels et de gestion sécurisée de la chaîne d'approvisionnement. Officiellement référencée sous l’appellation CVE-2021-44228, Log4Shell a été découverte en décembre 2021 dans Log4j, une bibliothèque Java open-source très répandue et utilisée pour la journalisation. Si les développeurs du projet ont rapidement créé un correctif pour cette faille divulguée à l’origine comme une faille zero day, l'adoption et le déploiement de ce correctif à grande échelle se sont avérés difficiles, car ils dépendent des codeurs qui ont utilisé ce composant dans leur logiciel pour publier leurs propres mises à jour. Le problème a été compliqué par la nature transitive de la vulnérabilité, car les projets logiciels qui incorporaient Log4j comprenaient de nombreux autres composants ou frameworks de développement tiers qui étaient eux-mêmes utilisés comme dépendances pour d'autres applications. Il n'était même pas nécessaire d'utiliser la bibliothèque Log4j elle-même pour être affecté, car la classe Java vulnérable appelée JndiManager incluse dans Log4j-core a été empruntée par 783 autres projets et se trouve désormais dans plus de 19 000 composants logiciels.
L'exploitation de Log4j « restera un défi »
...