Illustré par Suresh Kumar
Une troisième vulnérabilité Log4jé a été divulguée dans la nuit du 17 au 18 décembre 2021 par l’équipe de sécurité d’Apache, et elle a choqué divers industries.
La liste des victimes potentielles englobe près d’un tiers de tous les serveurs Web dans le monde, selon la société de cybersécurité Cybereason: Jen Easterly; responsable de l’Agence de cybersécurité et de sécurité des infrastructures (CISA), a qualifié cette faille de “la plus grave” qu’elle a connue au cours de sa carrière de plusieurs décennies.
Les entreprises de cybersécurité avertissent maintenant que les criminels et les pirates informatiques liés à des gouvernements étrangers ont déjà tenté d’exploiter la vulnérabilité pour accéder aux systèmes informatiques des cibles.
Voici ce que vous devez savoir:
Qu’est-ce que Log4j?
Log4j est un code de programmation écrit en langage Java et créé par des bénévoles de l’Apache Software Foundation pour fonctionner sur une poignée de plates-formes : macOS, Windows et open source crée un log “journal” ou un enregistrement d’activité intégré-comme un journal intime- que les développeurs de logiciels peuvent utiliser pour résoudre les problèmes ou suivre les données dans leurs programmes. Son utilité et le fait qu’il soit gratuit a répondu la “bibliothèque de journalisation” dans tous les coins d’internet, selon les experts en cybersécurité.
Selon les chercheurs en cybersécurité, la faille laisse une liste exhaustive de fonctions d’infrastructure critiques tels que l’électricté, l’énergie, l’agroalimentaire, les communications, la production critique et la distribution d’eau pour une éventuelle intrusion. “Ce morceau de code qui s’est avéré vulnérable existe littéralement à travers le monde,” a déclaré Mark Ostrowski, responsable de l’ingénierie dans la société de sécurité Checkpoint:
Quand l’attaque a-t-elle commencé ?
Apache Software Foundation a été alerté le 24 novembre de la vulnérabilité, après qu’un membre de l’équipe de sécurité cloud d’Alibaba l’a découvert.
Cependant, vers le 17 décembre 2021, un avertissement inhabituel à envoyer des ondes de choc à travers le personnel de la communauté de la cybersécurité après que les créateurs du jeu vidéo sandbox Minecraft ont partagé la vulnérabilité dans un article de blog, alertant les joueurs que des pirates informatiques avaient identifié une faille dans leur jeu qui pourrait s’infiltrer dans leurs ordinateurs. Le personnel a également publié un correctif, mais les experts en cybersécurité ont rapidement découvert que la vulnérabilité en cause était intégrée dans l’outil logiciel répandu et utilisé pour plus que la simple construction d’un monde virtuel.
Comment fonctionne la cyberattaque Log4j ?
La vulnérabilité Log4Shell permet aux pirates informatiques d’injecter à distance du code arbitraire dans un réseau cible et d’en prendre le contrôle total. Toute entreprise qui utilise une bibliothèque Log4j vulnérable pour analyser les données de journal dans ses systèmes d’arrière-plan est vulnérable à une cyberattaque Log4j.
Cet enregistreur est capable d’exécuter du code en fonction de l’entrée, et parce que la vulnérabilité permet aux attaquants de manipuler les données d’entrée, l’enregistreur pourrait être forcé d’exécuter du code malveillant.
En termes techniques, la bibliothèque Log4j vulnérable, lorsqu’elle transmet une chaîne spécialement conçue, appelle un serveur LDAP, télécharge le code hébergé dans l’annuaire LDAP, puis exécute ce code. Cela permet aux cybercriminels de créer un serveur LDAP malveillant qui stocke du code conçu pour prendre le contrôle de n’importe quel serveur sur lequel il est exécuté, puis d’envoyer aux applications/bases de données/API la chaîne qui pointe vers leur code.
Comment minimiser l’impact sur la sécurité ?
-
Mettez à jour vers la dernière version de la bibliothèque Log4j : La réponse d’atténuation la plus rapide et actuellement la plus efficace consiste à mettre à jour toutes les instances de Log4j vers la dernière version – Log4j 2.17.0. Vous pouvez le télécharger ici. Selon Apache, la vulnérabilité CVE-2021-45105 est corrigée dans sa dernière version de bibliothèque. Cela devrait empêcher de futures attaques, mais cela ne corrigera aucun dommage causé avant la mise à jour de la bibliothèque. Cette vulnérabilité étant si répandue, il est plus sûr de supposer que votre écosystème a été compromis avant une mise à jour de la bibliothèque et d’initier immédiatement des réponses aux incidents de violation de données. Même les entités qui n’utilisent pas les services de journaux Apache devraient supposer une violation de données, car Zero-Day a potentiellement un impact sur toute la surface d’attaque.
-
Surveillez et auditez les journaux: Eventlog Analyzer est une solution Web de surveillance des journaux en temps réel et de gestion de la conformité pour la gestion des informations de sécurité et des événements (SIEM) qui améliore la sécurité du réseau et facilite la conformité aux audits informatiques. Les journaux reçus des systèmes (Windows, Linux/UNIX), des périphériques réseau (routeurs, commutateurs, pare-feu et ID/IP) et des applications peuvent être collectés, analysés, recherchés, signalés et archivés à l’aide d’EventLog Analyzer (Oracle, SQL et Apache). Il fournit des informations critiques sur les activités des utilisateurs, les violations des règles, les anomalies du réseau, les temps d’arrêt du système et les menaces internes. Les administrateurs réseau et les responsables informatiques peuvent l’utiliser pour effectuer des audits pour des réglementations telles que SOX, HIPAA, PCI DSS, GLBA et autres.
-
Modifiez les propriétés du système Java : Si la mise à jour vers la dernière version de Log4j n’est pas possible, les équipes de sécurité doivent immédiatement implémenter la réponse suivante pour les versions 2.10 à 2.14.1:
Définissez la propriété système suivante sur “true” :
log4j2.formatMsgNoLookups
Ou (définit) définissez la variable d’environnement suivante sur “true” :
LOG4J_FORMAT_MSG_NO_LOOKUPS
-
Désactivez JNDI : Une faille de conception dans le plugin de recherche JNDI est principalement à blâmer pour cette vulnérabilité critique. JNDI facilite l’exécution de code basée sur les données trouvées dans le journal, des données qui peuvent facilement être manipulées, car elles sont acceptées par l’enregistreur sans vérification. Il a récemment été découvert que le plugin de recherche JNDI permettait toujours d’envoyer des informations non analysées à la bibliothèque Log4j, depuis sa sortie en 2013. C’est pourquoi CVE-2021-44228 peut être exploité par une seule injection de chaîne. Une fois injecté, l’enregistreur considérera l’opération intégrée dans la chaîne comme faisant partie de sa base de code d’origine et l’exécutera instantanément. En désactivant la classe de JndiLookup, l’enregistreur ne pourra pas prendre d’action en fonction des données trouvées dans le journal. JNDI est désactivé par défaut dans la version 2.16.0 de Log4j.
-
Mettez à jour tous les pare-feux et les systèmes de prévention des intrusions : Mettez à jour tous les pare-feux de nouvelle génération, les pare-feux d’applications Web et les systèmes de prévention des intrusions avec les règles et signatures les plus récentes. Les correctifs pourraient filtrer ou bloquer le trafic LDAP et RMI tentant d’atteindre des serveurs LDAP malveillants.
Que nous réserve l’avenir ?
Jusqu’à présent, aucune attaque majeure n’a été signalée. Cependant, les experts en sécurité s’attendent à ce que les choses empirent au cours des prochains jours. Cela dit, les attaquants ont déjà commencé à développer de nouvelles techniques pour tirer parti de la vulnérabilité. Les équipes de sécurité doivent être sur leurs gardes et être prêtes à faire face à des menaces imprévues.
ManageEngine garantit que tous nos produits, qui dépendent de la bibliothèque Log4j, ont été protégés contre la vulnérabilité. Nous encourageons les clients à mettre à jour les dernières versions de nos produits par mesure de précaution.
