Prévenir, détecter et rechercher l’exploitation de CVE-2021-44228 Log4j 2 – Recommandations



Prévenir, détecter et rechercher l’exploitation de CVE-2021-44228 Log4j 2 – Recommandations

Log4j est activement exploité dans des cyber attaques dont des attaques de ransomware !

Le 9 décembre 2021, des chercheurs en sécurité ont découvert une faille dans le code d’une bibliothèque logicielle utilisée pour la journalisation. 

La bibliothèque de logiciels, Log4j , est construite sur un langage de codage populaire, Java, qui est largement utilisé dans d’autres logiciels et applications utilisés dans le monde entier.



Liste des avis de sécurité & Réponses des fournisseurs liées à Log4j (CVE-2021-44228)…https://github.com/cisagov/log4j-affecteddb…Maintenue par le CISA.Il est estimé que cette faille Log4j est présente, au bas mot,dans plusieurs 10aines de millions d’instances dans le monde.


Cette vulnérabilité a été classée 10 sur 10 dans le Common Vulnerability Scoring System (CVSS), en raison de l’impact potentielqu’elle peut avoir si elle est exploitée par des attaquants. 

Les détails de la vulnérabilité peuvent être trouvés dans la base de données NVD du NIST sous le titre CVE-2021-44228. 

Suivi des mises à jour…


Mise à jour du 14 décembre 2021…


les chercheurs ont découvert que le correctif développé pour CVE-2021-44228

était incomplet et le fournisseur, Apache, a publié un nouveau correctif. 


Mise à jour du 17 décembre 2021…


deux nouveaux problèmes ont été confirmés et le lendemain, Apache

a publié un autre correctif. 


Il faut s’attendre à ce que le cycle de correction de vulnérabilité se poursuive alors que les attaquants et les chercheurs continuent de se concentrer sur Log4j.


Pour simplifier, la liste actuelle des vulnérabilités et des correctifs recommandés est répertoriée ici :

CVE-2021-44228 (score CVSS : 10.0)

Une vulnérabilité d’exécution de code à distance affectant les versions Log4j de 2.0-beta9 à 2.14.1 (Corrigé dans la version 2.15.0)

CVE-2021-45046 (score CVSS : 9.0)

Une fuite d’informations et une vulnérabilité d’exécution de code à distance affectant les versions Log4j de 2.0-beta9 à 2.15.0, à l’exception de 2.12.2 (Corrigé dans la version 2.16.0)


CVE-2021-45105 (score CVSS : 7.5)

Une vulnérabilité de déni de service affectant les versions Log4j de 2.0-beta9 à 2.16.0 (Corrigé dans la version 2.17.0)


CVE-2021-4104 (score CVSS : 8.1)

Une faille affectant Log4j version 1.2 (Aucun correctif disponible au 19/12/2021 – mise à niveau vers la version 2.17.0)



Nous vous recommandons de suivre les conseils d’Apache, qui recommande une mise à jour immédiate vers la 2.17.0.

En raison de la prévalence généralisée de Log4j, de l’impact élevé d’une attaque contre celui-ci et des preuves que des acteurs malveillants ciblent activement les organisations avec des versions vulnérables de Log4j, UNIDEES encourage toutes les organisations à atténuer les risques dès que possible. 



Des correctifs de sécurité sont disponibles et UNIDEES encourage toutes les organisations à mettre en œuvre ces mises à jour le plus rapidement possible. Toute organisation qui s’appuie sur des fournisseurs externes pour les services susceptibles d’utiliser Log4j doit travailler avec ces fournisseurs pour s’assurer que ces relations avec des tiers ne les exposent pas à des risques injustifiés.



Il est important de noter que la simple mise à jour de Log4j peut ne pas résoudre les problèmes si une organisation est déjà compromise. 



En d’autres termes, la mise à jour vers la version la plus récente de tout logiciel ne supprimera pas les accès obtenus par les adversaires ou les capacités malveillantes supplémentaires abandonnées dans les environnements victimes. 

UNIDEES recommande une vigilance particulière sur les activités dans votre SI, la recherche de preuves d’accès non autorisé et d’agir conformément aux meilleures pratiques de réponse aux incidents pour réduire l’exposition. 



Il est observé par de nombreuses sociétés spécialisés que les acteurs (dont étatiques) commençaient à tirer parti de la vulnérabilité lors de nouvelles attaques.


Recommandations :

Nos clients sont encouragés à nous contacter dès que possible si vous pensez avoir été touché par une attaque contre cette vulnérabilité.


Nous avons mis en place une cellule spéciale pour obtenir des conseils, une aide à la correction et des rapports liés à cette vulnérabilité


L’étendue de cette vulnérabilité est plus répandue que tout autre cas dans l’histoire récente. 

Nous visons à soutenir tous nos clients et nous vous demandons de nous remonter toutes anomalies ou questions sur cette vulnérabilité. 


De plus, nous avons la possibilité d’analyser votre infrastructure avec des signatures à jour pour :


1 – identifier la présence d’une instance LOG4J vulnérable

2 – Corriger les instances concernées et vulnérables

3 – Identifier une potentielle compromission de cette vulnérabilité

Actions immédiates:

 Nous encourageons toutes les organisations à corriger immédiatement toutes les instances de Log4j vers 2.17.0. 

Apache a publié le 18 décembre de nouvelles informations critiques sur cette vulnérabilité. 


https://logging.apache.org/log4j/2.x/security.html


Guide Apache Log4j V2

 https://logging.apache.org/log4j/2.x/log4j-users-guide.pdf

 

Avis de sécurité / Bulletins / Réponses des fournisseurs/éditeurs liées à Log4Shell (CVE-2021-44228)

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592?s=03#f

 Si vous ne parvenez pas à mettre à jour complètement les produits qui reposent sur Log4j en raison de la maintenance de ces produits par un tiers, contactez vos fournisseurs/éditeurs dès que possible pour obtenir des conseils de mis à jour. 



Si vous ou des fournisseurs tiers ne parvenez pas à mettre à jour le logiciel en temps opportun, UNIDEES recommande de désinstaller ou de désactiver Log4j jusqu’à ce que les mises à jour puissent être appliquées. Ceci est particulièrement critique pour tous vos services publiés sur internet utilisant Log4j.


 Ressources complémentaires :

 https://docs.rapid7.com/insightvm/apache-log4j/

 https://github.com/cisagov/log4j-affected-db?_x_tr_sl=en&_x_tr_tl=fr&_x_tr_hl=fr

 https://nvd.nist.gov/vuln/detail/CVE-2021-44228?_x_tr_sl=en&_x_tr_tl=fr&_x_tr_hl=fr

 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/apache-log4j-zero-day

 https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/

 https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

 https://cloud.google.com/log4j2-security-advisory


Article crée par MEHDI ZAKARIA :https://www.linkedin.com/pulse/pr%25C3%25A9venir-d%25C3%25A9tecter-et-rechercher-lexploitation-de-log4j-mehdi-zakaria/?trackingId=nWbI%2B7q0RbSiDfdZGoYBDA%3D%3D

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram


Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité