Apache Log4j, la nouvelle terreur. Elle fera des malheurs, c’est sûr. Jeudi 16 décembre, rejoignez Cyber Security Management pour un webinar sur le sujet…

Apache Log4j. Son seul nom fait aujourd’hui trembler tout l‘Internet. « La pire faille de la décennie », selon bien des observateurs. La CISA (Cybersecurity and Infrastructure Security Agency), l’agence américaine de protection contre les menaces informatiques, en a fait une menace de rang 10, c’est-à-dire le niveau d’alerte maximal !

Apache Log4J est souvent utilisé dans les applications web et toutes sortes d’autres systèmes. La vulnérabilité permet aux attaquants d’abuser des droits des serveurs web distants. Ce logiciel étant très largement distribué, il est difficile d’estimer comment la vulnérabilité découverte sera exploitée et à quelle échelle. Pendant ce temps, les cybercriminels tentent de l’exploiter; ils recherchent activement des systèmes vulnérables.

Techniquement, il s’agit d’un logiciel de gestion des journaux utilisé pour le langage Java -édité par la fondation Apache. Il est ainsi utilisé pour enregistrer les évènements d’un autre logiciel, par exemple pour écrire toutes les requêtes faites sur un site Internet. Puisqu’il s’agit d’une composante de nombreux systèmes, beaucoup d’organisations sont dans l’incapacité de dire si elles sont impactées. En attendant, la vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance.

Une vulnérabilité extrêmement dangereuse

Depuis le week-end dernier, le nombres de scans et d’attaques tentant d’exploiter la vulnérabilité ne cesse d’augmenter. Un modèle courant de risque d’exploitation, par exemple, est une application web dont le code est conçu pour traiter les noms d’utilisateur, les chaînes de référence ou d’agent utilisateur dans les journaux. Ces chaînes sont fournies en entrée externe (par exemple, une application web construite avec Apache Struts). Un attaquant peut envoyer un nom d’utilisateur malformé. Il peut aussi définir un user-agent avec la séquence d’exploitation élaborée en espérant que cette entrée externe sera traitée à un moment donné par le code vulnérable de Log4j et déclenchera l’exécution.

Comme l’indique le cabinet Forrester, cette vulnérabilité est extrêmement dangereuse en raison de son échelle massive. De fait, Java est utilisé sur plus de 3 milliards d’appareils. Surtout. M un grand nombre d’entre eux utilisent Log4j. Les attaquants commencent à utiliser cette vulnérabilité pour cibler des victimes avec des cryptomonnaies et des attaques de botnets. Mais il faut s’attendre à des attaques plus dévastatrices -comme les ransomwares. Cette vulnérabilité sera utilisée pendant des mois, voire des années, pour attaquer les entreprises. C’est pourquoi les équipes de sécurité doivent frapper pendant que le fer est chaud.

Concrètement, que faire ?

Toutes les mesures correctives recommandées doivent être appliquées « sans attendre ». Si les particuliers ne peuvent pas faire grand-chose, hormis installer les mises à jour des différents services dès qu’elles sont disponibles, les organisations, elles, doivent œuvrer sans relâche pour installer tous les patchs nécessaires et sécuriser leurs propres systèmes. Et chaque fois qu’un risque est éliminé, une évaluation doit déterminer si un incident actif est en cours sur les systèmes concernés.

L’urgence est dans une identification et remédiation rapide de la vulnérabilité. Puisque Log4j est une composant de certains systèmes et que seulement peu de fournisseurs de solutions listent leurs composants, beaucoup d’organisations ignorent si elles sont impactées

Afin de les aider dans cette démarche, CyberSecurity Management a mis en place un certain nombre d’actions.

• Tools et tuto gratuit proposé par CyberWatch afin de détecter la vulnérabilité.
• Webinar proposé sur la détection et remédiation de Log4Shell le 16/12 à 11h organisé par CyberWatch.
• Un vaccin numérique créé par Cybereason pour limiter l’impact de la vulnérabilité sur les machines sur lesquelles le contrôle est limité. Ce dernier exploite la vulnérabilité log4shell pour forcer le serveur a se reconfigurer afin que la CVE ne soit plus exploitable.

Entretemps, conseille encore Cyber Security Management, vérifiez bien QUI a patché. Des cas ont été observés où les attaquant appliquaient des correctifs de sécurité afin de protéger leurs nouveaux territoires virtuels d’autres intrus… Enfin, en cas d’indication de compromission, faire appel à un service de CSIRT pour une analyse et remédiation complète.