Le 10 dĂ©cembre dernier, le CERT FR a publiĂ© une vulnĂ©rabilitĂ© hautement critique, qui met potentiellement en danger un nombre important d’applications. La bibliothèque open source log4j est en effet largement utilisĂ©e pour le dĂ©veloppement d’applications Java. La communautĂ© informatique craint une utilisation massive de cette vulnĂ©rabilitĂ©, qui fait dĂ©jĂ l’objet de nombreuses exploitations.
Les équipes d’ITrust ont mis en place plusieurs moyens de détecter d’éventuelles tentatives d’exploitation de la vulnérabilité (IOC et règles de détection). Nous sommes particulièrement vigilants sur les périmètres touchés par cette CVE.
Quels risques pour votre activité ?
En exploitant cette faille de sécurité, un attaquant peut exécuter arbitrairement du code à distance, sans être authentifié.
Un effet domino Ă redouter
Au-delĂ des nombreuses applications et services qui font directement appel Ă cette librairie, cette faille pourrait fragiliser tous les autres composants qui en dĂ©pendent. Des millions d’applications reposent indirectement sur ces technologies. Des services gĂ©rĂ©s par Apple (iCloud), Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu et d’autres ont Ă©tĂ© signalĂ©s comme Ă©tant vulnĂ©rables.
Comment vous protéger ?
Dans un premier temps, il est nécessaire de mettre à jour les applications connues pour être vulnérables à log4shell. Vous pouvez rechercher vos applications parmi cette liste de logiciels vulnérables à la CVE : 20211210-TLP-WHITE_LOG4J.md
Si vous en avez la possibilité, nous invitons tous nos clients à mettre à jour le plus rapidement possible log4j, vers la version 2.15.0 (la 2.15.0-rc2 semble être la bonne)
Cette opération n’étant pas anodine, la prudence est de mise pour assurer la continuité de vos services.
Aussi, si votre environnement ne permet pas cette mise Ă jour, nous recommandons :
- Pour les version ultĂ©rieures Ă 2.10, une solution est est de mettre la propriĂ©tĂ© log4j2.formatMsgNoLookups ou la variable d’environnement LOG4J_FORMAT_MSG_NO_LOOKUPS Ă true;
- Pour les versions ultérieures à 2.7, il faut changer le format des événements à journaliser avec la syntaxe %m{nolookups} (au lieu de %m).
- Pour les versions ultérieures à 2.0-beta9 et antérieures à 2.10.0, il faudra simplement retirer la classe JndiLookup (zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)
Dans tous les cas, les équipes ITrust vous invitent à couper les accès « externes » aux serveurs affectés (ou les limiter au maximum) par cette vulnérabilité et à préconiser un accès uniquement interne ou via VPN à ces serveurs.
SchĂ©ma d’attaque log4j (Gov-CERT.CH)
Au quotidien et face à la plupart des menaces, les bonnes pratiques et les bons outils renforcent votre niveau de cybersécurité et vous aident à prévenir ce type de faillles. Comme toujours, nous vous conseillons donc :
- De scanner régulièrement votre réseau à la recherche de nouvelles vulnérabilités. Des outils comme IKare, disponible en version d’essai gratuite, automatisent le monitoring de votre SI.
- De ne pas laisser des serveurs exposés sans protection. ITrust vous propose des outils pour détecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.
> Si vous souhaitez en savoir plus, contactez votre chargĂ© d’affaire ITrust.
> Pour suivre l’actualitĂ© de la cybersĂ©curitĂ© connectez-vous au blog ITrust
Sources : CERT FR ; Le monde informatique ; White Source ; Gov-CERT.ch
