Une vulnérabilité critique du logiciel a été identifiée et est considérée comme l’un des problèmes de sécurité les plus répandus des dernières années. Il attire l’attention du monde entier en raison de la prévalence du code chez presque tous les grands fournisseurs de technologies du marché.
Quelles en sont les répercussions?
Le système de notation CVSS (Common Vulnerability Scoring System) lui attribue la note de 10/10, ce qui signifie qu’il présente un risque très élevé et qu’il est facile à exploiter pour les acteurs malveillants.
Comment fonctionne-t-il?
Ce code est souvent utilisé dans les applications Web. Si ces applications sont accessibles depuis l’extérieur de votre organisation, par exemple, sur un site Web, elles peuvent être facilement exploitées par des criminels malveillants pour pénétrer dans votre environnement. La vulnérabilité permet aux criminels d’envoyer une demande aléatoire à la bibliothèque Apache Log4j et d’utiliser une exécution de code à distance pour envoyer un signal à l’ordinateur hôte à des fins malveillantes. Une fois la connexion établie, le criminel peut facilement utiliser la machine pour diffuser des logiciels malveillants, mettre en place des mécanismes de persistance, exfiltrer des données, etc.
Où se trouve la vulnérabilité?
La vulnérabilité réside dans la bibliothèque Apache Log4j (versions 2.0 à 2.14.1) qui est un code largement utilisé par les principaux fournisseurs de technologies. Veuillez consulter les liens ci-dessous pour des informations spécifiques.
Comment puis-je protéger mon environnement?
1. Si vous n’êtes pas certain des hôtes ou des applications de votre réseau qui exploitent la bibliothèque Log4j, la meilleure solution consiste à vous assurer que vos pare-feu et vos systèmes de prévention et de détection d’intrusions sont à jour avec la signature Log4j et sont configurés de façon à bloquer les intrusions. Cela empêchera la capacité pour le criminel d’exploiter la vulnérabilité.
2. Dans Apache : Si vous connaissez les hôtes des applications qui utilisent la bibliothèque Log4j dans Apache, vous pouvez effectuer une mise à niveau vers la version la plus récente sur Apache située ici : Log4j – Télécharger Apache Log4j 2
Dans d’autres applications : Pour toutes les applications offertes par des fournisseurs autres qu’Apache utilisant la bibliothèque Log4j, les clients sont priés de contacter leurs partenaires fournisseurs pour déterminer quels produits sont affectés et quels sont les moyens d’atténuation des risques pour ces versions vulnérables.
Nous avons répertorié ci-dessous quelques liens de fournisseurs de technologies. Cette liste n’est pas exhaustive. Veuillez vérifier les correctifs auprès de tous les fournisseurs d’applications dans votre environnement.
3. Si le service ou l’application n’est pas critique, le système doit être mis hors service jusqu’à ce que les correctifs appropriés ou les règles de système de prévention des intrusions (IPS) soient en place.
Compugen peut vous aider avec les méthodes d’atténuation ci-dessus si vous le souhaitez. Veuillez contacter votre directeur de compte ou votre gestionnaire de prestation des services pour plus de détails sur la façon dont nous pouvons vous aider.
Avis des fournisseurs concernant la vulnérabilité de sécurité de Log4j :
Cisco
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-apache-log4j-qRuKNEbd.html?dtid=osscdc000283
Microsoft
https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
HPE
https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-a00120086en_us
Palo Alto
https://security.paloaltonetworks.com/CVE-2021-44228
