Depuis le 10 décembre, quelques jours après la découverte par les experts de l’industrie d’une vulnérabilité critique connue sous le nom de Log4Shell dans les serveurs supportant le jeu Minecraft, de mauvais acteurs ont effectué des millions de tentatives d’exploitation de la bibliothèque Java Log4j 2, selon une équipe qui en suit l’impact. La vulnérabilité constitue une menace potentielle pour des millions d’applications et d’appareils supplémentaires dans le monde.
Dans cet article, nous répondrons à certaines questions fréquemment posées sur la vulnérabilité de Log4Shell.
Log4Shell c’est quoi ?
Log4shell est une vulnérabilité logicielle dans Apache Log4j 2, une bibliothèque Java populaire pour la journalisation des messages d’erreur dans les applications. La vulnérabilité, publiée sous le nom de CVE-2021-44228, permet à un attaquant distant de prendre le contrôle d’un appareil sur Internet si l’appareil exécute certaines versions de Log4j 2.
Apache a pulié un correctif pour CVE-2021-44228, version 2.15, le 06 décembre. Cependant, ce correctif laissait une partie de la vulnérabilité non corrigée, ce qui a donné lieu à CVE-2021-45046 et à un deuxième correctif, version 2.16, publié le 13 décembre. Apache a publié un troisième correctif, la version 2.17, le 17 décembre pour corriger une autre vulnérabilité liée, CVE-2021-45105.
Les attaquants peuvent exploiter la vulnérabilité en utilisant des messages texte pour contrôler un ordinateur à distance. La Apache Software Foundation, qui publie la bibliothèque Log4j, a attribué à la vulnérabilité un score CVSS de 10 sur 10, le score de gravité le plus élevé. Cela est dû à son potentiel d’exploitation à grande échelle et de la facilité avec laquelle les attaquants malveillants peuvent l’exploiter. Alors que les mesures d’atténuation évoluent et que les dommages se déploient, les principes fondamentaux de la vulnérabilité Log4Shell ne changeront pas.
Quand les experts ont-ils découvert la vulnérabilité initiale dans la bibliothèque Log4j 2 ?
Le chercheur en sécurité Chen Zhaojun d’Alibaba, la plus grande société de commerce électronique de Chine, a d’abord signalé la vulnérailité à la Fondation apache (un projet open-source) le 24 novembre. Ils ont découvert l’attaque le 09 décembre sur des serveurs qui hébergent le jeu Minecraft. Après une analyse forensique plus poussée, ils ont réalisé que les cybercriminels avaient découvert la faille plus tôt et l’exploitaient depuis au moins le 1er décembre 2021.
6 astuces pour se protéger face à Log4shell
CyberArk est un expert en protection d’identité. Il a montré comment se protéger en 6 étapes de cette attaque par une vulnérabilité dans la bibliothèque Java Log4j.
Appliquer le correctif
Si vous ne l’avez pas déjà fait, veuillez prendre des mesures immédiates pour appliquer les mises à jour logicielles publiées par Apache dans Log4j. Il est également important d’examiner les recommandations et les mises à jour des fournisseurs pour toutes les plateformes logicielles d’entreprise utilisées. Ainsi que le système d’exploitation sous-jacent et l’intégration d’entreprise. Vérifiez auprès de tous vos fournisseurs tiers s’ils ont également corrigé le logiciel que vous utilisez.
Déployer la défense du périmètre
Dans le cadre d’une stratégie complète de défense en profondeur, les règles WAF sont appliquées pour atténuer les tentatives d’exploitation courantes.
Protéger les identifiants fournis aux serveurs
Restreindre l’accès aux variables environnementales et aux informations d’identification locales pour minimiser les risques directs posés par les attaquants opportunistes.
Protéger les actifs de niveau 0
Restreindre l’accès à ces actifs de niveau 0.
Implémenter le moindre privilège pour les services et les utilisateurs
Cette étape est essentielle pour réduire le risque d’attaques ciblées. Restreindre l’accès au niveau le plus bas requis – et le supprimer immédiatement lorsqu’il n’est pas nécessaire – peut considérablement ralentir ou arrêter la progression de l’attaquant en empêchant le mouvement latéral et en minimisant finalement le rayon d’explosion (ou l’impact global).
Permettre l'identification multifactorielle
Lorsque les attaquants n’ont pas à fournir un deuxième facteur d’authentification ou d’autres éléments de confiance pour insérer leur code, ils ont plus de chances de réussir. Cela reste donc une bonne pratique.
La réponse de nos éditeurs
Concernant N-able, il a d’abord était envisagé que N-Central pouvait avoir utilisé une version vulénrable d’Apache Log4j. Cependant, après une enquête plus appronfondie, il a été déterminé que la solution n’était pas vulnérable car N-Central utilise uniquement le composant Log4j-API et non le composant Log4j-core(1).
Kaspersky a surveillé la télémétrie liée à l’exploitation de la vulnérabilité CVE-2021-44228, réussissant à extraire les URL utilisées par les attaquants(2).
Les équipes d’ingénierie et de sécurité de l’information de ISLonline ont effectué une évaluation complète de la vulnérabilité Log4Shell (CVE-2021-44228). Ils n’ont pas identifié d’exposition matérielle à la vulnérabilité Log4j qui pourrait affecter l’utilisation sûre des produits d’ISL Online(3).
MailStore peut confirmer que ses produits ne sont pas affectés. Nos produits sont basés sur .NET, pas sur Java et n’utilisent donc pas le composant vulnérable Log4j. De même, son port .NET log4net, qui n’est actuellement pas connu pour être affecté par la vulnérabilité, n’est pas utilisé par nos produits(4).
Nous pouvons également confirmer que le serveur de messagerie MDaemon et la passerelle de messagerie sécurisée SecurityGateway™ ne sont pas affectés par cette vulnérabilité(5).
AppRiver a examiné tous leurs systèmes de production, les systèmes informatiques internes de l’entreprise et tous les logiciels tiers pertinents pour vérifier la présence de vulnérabilités Log4j telles que décrites par le fournisseur. Ils ont effectué toutes les mesures correctives recommandées par le fournisseur en ce qui concerne ces systèmes et logiciels tiers(6).
BackupAssist a passé en revue leurs produits et applications. Ils sont heureux de vous informer que leurs produits ne sont pas sensibles à la vulnérabilité Log4Shell, car ils n’utilisent pas le composant log4j(7).
Après de nombreux test et examens, c’est avec soulagement que nous pouvons dire que nos solutions ne sont pas affectées par la vulnérabilité. Néanmoins, nous vous conseillons tout de même d’installer les mises à jour afin d’utiliser les versions les plus récentes et ainsi, de garantir l’accès aux dernières fonctionnalités.
Nous nous tenons à votre disposition pour échanger sur vos projets IT. Contactez-nous au 05.56.15.01.01 ou sur ventes@watsoft.com.
A très vite !
0 commentaires