Le 10 dĂ©cembre dernier, le CERT FR a publiĂ© une vulnĂ©rabilitĂ© hautement critique, qui met potentiellement en danger un nombre important d’applications. La bibliothĂšque open source log4j est en effet largement utilisĂ©e pour le dĂ©veloppement d’applications Java. La communautĂ© informatique craint une utilisation massive de cette vulnĂ©rabilitĂ©, qui fait dĂ©jĂ  l’objet de nombreuses exploitations.

Les Ă©quipes d’ITrust ont mis en place plusieurs moyens de dĂ©tecter d’éventuelles tentatives d’exploitation de la vulnĂ©rabilitĂ© (IOC et rĂšgles de dĂ©tection). Nous sommes particuliĂšrement vigilants sur les pĂ©rimĂštres touchĂ©s par cette CVE.

Quels risques pour votre activité ?

En exploitant cette faille de sĂ©curitĂ©, un attaquant peut exĂ©cuter arbitrairement du code Ă  distance, sans ĂȘtre authentifiĂ©.

Un effet domino Ă  redouter

Au-delĂ  des nombreuses applications et services qui font directement appel Ă  cette librairie, cette faille pourrait fragiliser tous les autres composants qui en dĂ©pendent. Des millions d’applications reposent indirectement sur ces technologies. Des services gĂ©rĂ©s par Apple (iCloud), Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu et d’autres ont Ă©tĂ© signalĂ©s comme Ă©tant vulnĂ©rables.

Comment vous protéger ?

Dans un premier temps, il est nĂ©cessaire de mettre Ă  jour les applications connues pour ĂȘtre vulnĂ©rables Ă  log4shell. Vous pouvez rechercher vos applications parmi cette liste de logiciels vulnĂ©rables Ă  la CVE : 20211210-TLP-WHITE_LOG4J.md

Si vous en avez la possibilitĂ©, nous invitons tous nos clients Ă  mettre Ă  jour le plus rapidement possible log4j, vers la version 2.15.0 (la 2.15.0-rc2 semble ĂȘtre la bonne)

Cette opĂ©ration n’étant pas anodine, la prudence est de mise pour assurer la continuitĂ© de vos services.

Aussi, si votre environnement ne permet pas cette mise Ă  jour, nous recommandons :

  • Pour les version ultĂ©rieures Ă  2.10, une solution est est de mettre la propriĂ©tĂ© log4j2.formatMsgNoLookups ou la variable d’environnement LOG4J_FORMAT_MSG_NO_LOOKUPS Ă  true;
  • Pour les versions ultĂ©rieures Ă  2.7, il faut changer le format des Ă©vĂ©nements Ă  journaliser avec la syntaxe %m{nolookups} (au lieu de %m).
  • Pour les versions ultĂ©rieures Ă  2.0-beta9 et antĂ©rieures Ă  2.10.0, il faudra simplement retirer la classe JndiLookup (zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)

Dans tous les cas, les Ă©quipes ITrust vous invitent Ă  couper les accĂšs « externes Â» aux serveurs affectĂ©s (ou les limiter au maximum) par cette vulnĂ©rabilitĂ© et Ă  prĂ©coniser un accĂšs uniquement interne ou via VPN Ă  ces serveurs.

schéma attaque log4j (Gov-CERT.CH)

SchĂ©ma d’attaque log4j (Gov-CERT.CH)

Au quotidien et face à la plupart des menaces, les bonnes pratiques et les bons outils renforcent votre niveau de cybersécurité et vous aident à prévenir ce type de faillles. Comme toujours, nous vous conseillons donc :

  • De ne pas laisser des serveurs exposĂ©s sans protection. ITrust vous propose des outils pour dĂ©tecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.

> Si vous souhaitez en savoir plus, contactez votre chargĂ© d’affaire ITrust.

> Pour suivre l’actualitĂ© de la cybersĂ©curitĂ© connectez-vous au blog ITrust