Carrières
fr
fr
Ralph Moonen - Consultant principal
Des vulnérabilités ont été découvertes dans Apache Log4j, nommé Log4Shell (formellement connu sous le nom de CVE-2021-44228). De nombreuses applications web et d'autres systèmes utilisent ce logiciel à l'échelle mondiale, ce qui pourrait causer de graves dommages en très peu de temps. La vulnérabilité a déjà eu des effets sur Twitter, Amazon, Apple, Tesla, etc.
Que trouverez-vous sur cette page de mise à jour de Log4j ?
Bureau Veritas Cybersecurity a aidé de nombreux clients à identifier des instances vulnérables de Log4j ou à effectuer des analyses forensiques sur des serveurs qui étaient (potentiellement) compromis. Au cours de cette période, de nouvelles vulnérabilités dans Log4j ont également été découvertes et ont fait l'objet d'un battage médiatique. Heureusement, la situation actuelle semble être que l'exploitation active n'est pas très courante. Nous disons cela avec une certaine réserve, car le modèle de menace pour cette vulnérabilité est si différent des autres vulnérabilités qu'il est très plausible que de nouveaux vecteurs d'attaque innovants soient découverts à l'avenir.
Pour l'instant, il est important de noter que la version 2.17.1 a été publiée pour résoudre un problème de sécurité qui s'est avéré n'avoir qu'un impact très limité. Il n'est donc pas nécessaire d'appliquer un nouveau correctif. Si vous utilisez la version 2.16.1, vous êtes toujours protégé contre Log4Shell et toutes les variantes connues. Bureau Veritas Cybersecurity continuera à surveiller la situation et fournira des mises à jour ici en cas de changement.
Si vous n'êtes toujours pas sûr de ce qu'il faut faire ou si vous souhaitez avoir un aperçu de votre sécurité, n'hésitez pas à nous Contactez-nous.
Log4j est un composant largement utilisé dans toutes sortes d'environnements. On sait depuis peu qu'il existe une vulnérabilité grave qui a un impact sur de nombreux autres produits, applications et systèmes parce qu'il est intégré dans de nombreuses solutions logicielles. Bureau Veritas Cybersecurity est en contact étroit avec d'autres organisations de sécurité telles que Cyberveilig Nederland et le NCSC afin de coordonner l'aide apportée à nos clients pour faire face aux retombées de cette nouvelle vulnérabilité. Nos testeurs ont intégré les tests de cette vulnérabilité dans leur flux de travail standard. Mais vous avez peut-être encore des questions sur ce qu'il faut faire et comment réagir. Nous aimerions donc vous suggérer quelques mesures à prendre pour réduire le risque et atténuer ce problème.
Mais tout d'abord, il est important de comprendre le problème. Le fonctionnement est le suivant : si un attaquant peut obtenir une chaîne d'attaque spécifique enregistrée par log4j, cette chaîne déclenchera une connexion de log4j à un hôte contrôlé par l'attaquant, et téléchargera un morceau de code fourni par l'attaquant et l'exécutera. Quels sont donc les éléments enregistrés ? Beaucoup de choses, en fait ! Il peut s'agir d'un nom d'utilisateur, d'un en-tête de courrier électronique, d'un cookie de site web, bref, de tout ce qui peut être enregistré en cours de route. Et pour compliquer les choses, certains éléments sont parfois enregistrés à une date ultérieure, ou seulement après un certain nombre d'événements. Par exemple, certains mécanismes de journalisation peuvent n'enregistrer un échec de connexion qu'après dix tentatives ou plus. Il est donc difficile de tester tous les vecteurs d'injection possibles. Il est tout à fait possible que tous vos serveurs exposés à l'extérieur ne soient pas vulnérables, mais qu'un serveur d'application interne le soit. Le fait est qu'un attaquant peut diffuser les chaînes de caractères en espérant qu'il trouvera des composants vulnérables à un moment donné. À l'heure où nous écrivons ces lignes, les produits vulnérables comprennent de nombreuses solutions courantes : Jira, Confluence, Splunk, Elastic, VMWare Center, et bien d'autres. Certains sont même des produits de sécurité !
Heureusement, le NCSC néerlandais suit les logiciels vulnérables connus. Il fournit également des IOC et des mesures d'atténuation. Au lieu de les fournir ici, nous allons rediriger tout le monde vers leur dépôt.
Il est clair que la plupart des organisations sont actuellement exposées à un risque, car l'exploit est si facile et la vulnérabilité si répandue. Il est extrêmement important de savoir ce que vous possédez (gestion des actifs) et de connaître les composants logiciels que vous utilisez (SBOM, voir https://www.ncsc.nl/onderzoek/onderzoeksresultaten/software-bill-of-materials-sbom-en-cyber-security-map).
Nous nous attendons également à ce que cette vulnérabilité touche non seulement les systèmes informatiques, mais aussi les systèmes OT. En raison de la nature souvent intégrée des applications dans les environnements OT, nous pensons qu'il faudra beaucoup plus de temps pour savoir et découvrir quels produits OT sont particulièrement vulnérables. Mais il est très plausible que les historiens et les enregistreurs de données OT se révèlent vulnérables.
Nous mettrons cette page à jour dès que de nouveaux développements ou de nouvelles informations seront disponibles. Pour nos clients, veuillez contacter votre responsable de compte si vous avez des questions concernant cette vulnérabilité.
Le jeudi 6 janvier, notre directeur technique, Ralph Moonen, animera un webinaire en direct : "Log4j, les dernières nouveautés et comment rester sécurisé", au cours duquel vous pourrez poser toutes vos questions. Vous souhaitez participer à ce webinaire ? Vous pouvez dès à présent vous inscrire ici.
