Il y a quatre jours, l'exploit Java Log4Shell a été découvert, permettant aux pirates de prendre le contrôle des serveurs Web exposés en envoyant et en activant une chaîne de texte malveillante, affectant des géants de la technologie tels que Microsoft, NVIDIA et Intel. Cet exploit est situé dans la bibliothèque open source Apache Log4j qui enregistre les événements et les erreurs dans les applications Java.
L'exploit Log4J ou Log4Shell attaque à distance les systèmes basés sur Java, ouvrant la porte à des fuites de données cruciales et plus encore
La vulnérabilité est, également connue sous le nom de Log4J, est suivie sous CVE-2021-44228, donnée par le National Institute of Standards and Technology, ou NIST. Cet exploit est accessible via un appareil mobile, une API ou une fenêtre de navigateur.
Les plus grandes entreprises technologiques, telles qu'Intel, Microsoft et NVIDIA, ont toutes été affectées par cet exploit très efficace. Intel a neuf candidatures qui utilisent Java et sont vulnérables au piratage. La liste des applications Intel concernées est fournie :
- Kit de développement audio Intel
- Gestionnaire de centre de données Intel
- Exemple de plug-in de navigateur oneAPI pour Eclipse
- Débogueur système Intel
- Périphérique sécurisé Intel intégré (GitHub)
- Bibliothèque du noyau Intel Genomics
- Studio système Intel
- Outil d'annotation de vision par ordinateur maintenu par Intel
- Kit de développement du micrologiciel de la solution de capteur Intel
En raison de la nature de NVIDIA et de ses applications et services constamment mis à jour avec les dernières versions, l'exploit est beaucoup plus difficile à retracer. La société tient compte du fait que les gestionnaires de serveurs n'offrent pas systématiquement les dernières mises à jour de leurs machines, c'est pourquoi NVIDIA répertorie quatre produits possibles qui pourraient avoir un pourcentage élevé d'être affectés par Log4J, en particulier si les pilotes des produits sont obsolètes depuis leur sortie. :
- Profileur visuel de la boîte à outils CUDA et édition Nsight Eclipse
- Systèmes DGX
- NetQ
- Serveur de licences logicielles vGPU
Étant donné que les PC d'entreprise DGX de NVIDIA sont préchargés avec le système d'exploitation Ubuntu-Linux et également vulnérables à l'exploit, NVIDIA communique avec les utilisateurs capables d'installer manuellement le bloc de fonctionnalité Log4J d'Apache pour mettre à jour leurs systèmes immédiatement.
Les applications Azure Spring Cloud et Azure DevOps de Microsoft ont les deux ont été patchés depuis que la vulnérabilité a été découverte. Azure Spring Cloud utilise des éléments spécifiques de Log4Shell qui se trouvent dans le processus de démarrage du système. En raison de la nature de cet exploit, si le système n'est pas mis à jour, ils deviendront vulnérables.
Fait intéressant, AMD est resté indemne de l'exploit Log4J. Après l'enquête initiale de leurs gammes de produits, AMD a annoncé qu'aucune des gammes n'a été affectée, mais ils continueront leurs recherches en raison de la gravité de la vulnérabilité.
Le poste AMD passe à côté alors que l'exploit de Log4Shell affecte d'autres géants de la technologie, tels qu'Intel, Microsoft et NVIDIA by Jason R.Wilson apparaît en premier sur Wccftech.
