Faille zero-day de Log4j : Ce que vous devez savoir et comment vous protéger

Spread the love
Faille zero-day de Log4j : Ce que vous devez savoir et comment vous protéger

Très médiatisée à l’heure actuelle, la faille de sécurité dans Log4j, une bibliothèque Java permettant de consigner les messages d’erreur dans les applications, a un score de gravité de 10 sur 10.

La bibliothèque Log4j, développée par la fondation Apache Software, est l’un des principaux frameworks de journalisation Java. La vulnérabilité CVE-2021-44228, une faille d’exécution de code à distance dans Log4j, est activement exploitée. Des avertissements ont été émis par plusieurs agences nationales de cybersécurité, dont l’Anssi en France, la Cybersecurity and Infrastructure Security Agency (CISA) aux Etats-Unis et le National Cyber Security Centre (NCSC) au Royaume-Uni.

Le fournisseur d’infrastructure Internet Cloudflare estime que l’exploitation de la faille de sécurité contenue dans Log4j a commencé le 1er décembre.

publicité

Quels sont les appareils et applications à risque ?

En gros, tout appareil exposé à internet est à risque s’il utilise Apache Log4J, versions 2.0 à 2.14.1. Le NCSC note que Log4j version 2 (Log4j2), la version affectée, est incluse dans les frameworks Apache Struts2, Solr, Druid, Flink et Swift.

Mirai, un botnet qui cible toutes sortes d’appareils connectés à internet (IoT), a adopté un exploit pour exploiter cette faille. Cisco et VMware ont publié des correctifs pour leurs produits concernés respectivement. AWS a expliqué en détail l’impact de la faille sur ses services, précisant travailler à la mise en place de correctifs pour ses services qui utilisent Log4j. Le géant du cloud a également publié des mesures d’atténuation pour des services comme CloudFront. De même, IBM indique « répondre activement » à la vulnérabilité de Log4j dans sa propre infrastructure et ses produits. IBM confirme que Websphere 8.5 et 9.0 sont vulnérables. Oracle a également publié un correctif pour la faille.

« En raison de la gravité de cette vulnérabilité et de la publication de code d’exploitation sur divers sites, Oracle recommande fortement à ses clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. »

Actions nécessaires : découverte du dispositif et application de correctifs

Le principal conseil de la CISA est d’identifier les appareils connectés à internet qui utilisent Log4j et de les mettre à niveau vers la version 2.15.0, ou d’appliquer « immédiatement » les mesures d’atténuation fournies par les fournisseurs. Mais elle recommande également de mettre en place des alertes en cas de sonde ou d’attaque sur les dispositifs utilisant Log4j.

« Pour être claire, cette vulnérabilité présente un risque grave », avertit Jen Easterly, directrice de la CISA. « Nous ne pourrons minimiser les impacts potentiels que grâce à des efforts de collaboration entre le gouvernement et le secteur privé. Nous exhortons toutes les organisations à se joindre à nous dans cet effort essentiel et à prendre des mesures. » Parmi les mesures supplémentaires recommandées par la CISA, on peut citer : l’énumération de tous les dispositifs externes sur lesquels Log4j est installé ; la garantie que le centre des opérations de sécurité traite chaque alerte sur laquelle Log4j est installé ; et l’installation d’un pare-feu d’application Web (WAF) avec des règles axées sur Log4j.

AWS a mis à jour son ensemble de règles WAF – AWSManagedRulesKnownBadInputsRuleSet AMR – afin de détecter et d’atténuer les tentatives d’attaque et d’analyse de Log4j. Des options d’atténuation peuvent également être activées pour CloudFront, Application Load Balancer (ALB), API Gateway et AppSync. Il est également en train de mettre à jour tous les services Amazon OpenSearch à la version corrigée de Log4j.

Le NCSC recommande de procéder à la mise à jour vers la version 2.15.0 ou une version ultérieure et, lorsque cela n’est pas possible, d’atténuer la faille dans Log4j 2.10 ou une version ultérieure en définissant la propriété système “log4j2.formatMsgNoLookups” sur “true” ou en supprimant la classe JndiLookup du classpath.

Une partie du défi consistera à identifier les logiciels hébergeant la vulnérabilité de Log4j. Le Nationaal Cyber Security Centrum (NCSC) des Pays-Bas a mis en ligne sur GitHub une liste complète et détaillée de A à Z de tous les produits concernés dont il sait qu’ils sont soit vulnérables, soit non vulnérables, soit en cours d’investigation, soit pour lesquels un correctif est disponible. La liste des produits illustre l’étendue de la vulnérabilité, qui couvre les services cloud, les services de développement, les dispositifs de sécurité, les services de cartographie, etc.

Parmi les fournisseurs dont les produits populaires sont connus pour être encore vulnérables figurent Atlassian, Amazon, Microsoft Azure, Cisco, Commvault, ESRI, Exact, Fortinet, JetBrains, Nelson, Nutanix, OpenMRS, Oracle, Red Hat, Splunk, Soft et VMware. La liste est encore plus longue si l’on ajoute les produits pour lesquels un correctif a été publié.

NCCGroup a publié plusieurs règles de détection de réseau pour détecter les tentatives d’exploitation et les indicateurs d’une exploitation réussie.

Enfin, Microsoft a publié son ensemble d’indicateurs de compromission et des conseils pour prévenir les attaques contre la vulnérabilité Log4j. Parmi les exemples de post-exploitation de la faille que Microsoft a constatés, citons l’installation de mineurs de monnaie, Cobalt Strike pour permettre le vol d’identifiants et les mouvements latéraux, ainsi que l’exfiltration de données à partir de systèmes compromis.

Source : ZDNet.com

Leave a Reply