*Avant-propos* La vidéo traite des applications Web comme l'un des nombreux exemples de la faille Log4j, dont Point faible mais tout logiciel utilisant Log4j est potentiellement concerné.
Dans les listes Log4j (voir liens ci-dessous) de produits et de fournisseurs, on peut lire tous les grands noms du monde du logiciel comme Microsoft, Dell, IBM, SAP, Teamviewer, etc.
En ligne ou hors ligne, les particuliers comme les entreprises et autres institutions sont concernés, tout simplement tout le monde et potentiellement tout produit équipé d'un logiciel utilisant Log4j (des enquêtes sont en cours, des centaines de fournisseurs et de produits d'importance mondiale ont déjà été répertoriés) :
https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-products-and-vendor-advisories/
https://github.com/NCSC-NL/log4shell/tree/main/software
https://www.rumble.run/blog/finding-log4j/
Cette courte vidéo porte sur Log4j Vulnérabilité qui menace actuellement l'Internet dans le monde entier.
Dans notre démonstration, nous montrons brièvement comment un attaquant, en exploitant la faille Log4j, établit une connexion à distance avec le système à attaquer via des formulaires de saisie normaux sur une page web. Dans cet exemple, l'attaquant peut contrôler entièrement l'application web et ensuite le serveur web.
Il suffit d'utiliser la La technologie utilisée derrière les champs de recherche dans les boutiques en ligne est généralement ElasticSearch et ElasticSearch est vulnérable.
Dans le cas de Log4j-La simplicité de l'exploitabilité de ce point faible est étonnante.
Dans cet exemple, l'attaquant obtient les droits de rootLe serveur web fonctionne dans le contexte root, ce qui permet une prise en charge complète du serveur.
Il est possible d'extraire n'importe quelles données ou de mener d'autres attaques de piratage sur l'application web ou sur d'autres participants à Internet.
N'hésitez pas à nous consulter pour obtenir des conseils ou pour dépanner Log4j Point faiblen dans votre entreprise.
Nous avons à bord des programmeurs Java et des administrateurs (Linux + Windows) expérimentés qui sont heureux de vérifier vos systèmes informatiques et d'auditer le code source des logiciels utilisés ainsi que de renforcer les systèmes informatiques et les logiciels contre Log4j.
En cas d'incident lié à Log4j, il est possible qu'une obligation de déclaration auprès des autorités existe, par exemple auprès de l'autorité régionale de protection des données, si des données personnelles sont concernées.
La démonstration a été effectuée sur nos systèmes de test, personne n'a été blessé et personne n'a commis d'infraction.