Log4Shell : comment se protéger de cette vulnérabilité critique ?

5 min
161
0
0
Publié le

Révélée il y a quelques semaines, la faille informatique Log4Shell a semé un véritable vent de panique dans le domaine IT. Et pour cause, cette faille qualifiée de décennale a un score de criticité de 10/10 selon les organismes de référence qui listent les vulnérabilités informatiques. L’ANSSI a également alerté toutes les entreprises françaises sur le sujet en leur recommandant de faire rapidement l’inventaire de leurs applications pour procéder à des mises à jour de sécurité.
La faille Log4Shell concerne toutes les organisations utilisant la bibliothèque Log4j, un des principaux framework de journalisation Java. Cette vulnérabilité zéro day menace donc aussi bien les grands groupes comme Twitter, Amazon, Microsoft ou Tesla que les PME, TPE, les administrations ou encore les hôpitaux

Découvrez dans cet article, comment surveiller et se protéger de la vulnérabilité Log4Shell.


Comment fonctionnent Log4j et la vulnérabilité Log4Shell ?


La première étape pour se protéger de la vulnérabilité Log4Shell est de bien comprendre ce dont il s’agit et comment les cybercriminels peuvent l’exploiter.

La journalisation des applications est largement utilisée dans les systèmes informatiques, car elle permet d’enregistrer de manière chronologique les événements exécutés par un serveur ou une application informatique. Grâce aux frameworks de journalisation comme Log4J, chacun de ses événements et actions produit un fichier log qui donne des informations utiles pour comprendre par exemple l’origine d’un bug ou surveiller des activités suspectes.

Gratuit et open source, Log4j est un logiciel très utilisé partout sur les serveurs web Apache. Hors début décembre 2021, l’éditeur Apache a signalé une grave faille de sécurité, sans doute présente depuis 2017, dans ce composant logiciel de journalisation. Cette vulnérabilité permet aux cybercriminels d’injecter du code malicieux directement dans les journaux de log. Ils peuvent ensuite l’exécuter à distance pour voler des données, installer des logiciels malveillants ou prendre le contrôle de l’application voire du serveur.

Pour l’instant, la faille aura principalement été exploitée pour installer des cryptominers, (qui permettent de détourner la puissance d’un serveur ou ordinateur pour miner des cryptomonnaie), ainsi que pour déployer des attaques par ransomwares. Mais il est aussi fort probable que des cybercriminels aient exploité la faille pour installer discrètement des programmes malicieux qu’ils exécuteront plus tard.

Cloudflare estime que des attaques de rançongiciels exploitant Log4Shell auraient eu lieu dès le 1er décembre (soit 10 jours avant sa révélation par Appache). La société américaine de service informatique a également déclaré avoir bloqué 1,3 million de tentatives d’utilisation de Log4Shell en seulement une heure le 14 décembre 2021.


Comment se protéger de la faille zéro day Log4J ?

Faire l’inventaire du SI

Pour se protéger de Log4Shell, la première étape incontournable est recommandée par l’Agence National de Sécurité des Services Informatiques est de faire l’inventaire des ses applications afin d’identifier laquelle utilisent Log4J et en quelle version.

Tout appareil exposé à internet est vulnérable s’il utilise les versions 2.0 à 2.14.1 d’Apache Log4J. La version 2.0 du logiciel journalisation est aussi incluse de base dans les frameworks Apache Struts2, Solr, Druid, Flink et Swift. Attention, Log4j peut aussi être inclus dans une bibliothèque ou une dépendance tierce voire dans des logiciels propriétaires.

 Le CISA maintient une liste des fournisseurs et des produits concernés, et la page Log4j Security Vulnerabilities d’Apache détaille diverses solutions de contournement pour réduire l’exposition et les cybermenaces  jusqu’à ce que des correctifs puissent être appliqués.



Installer la version corrigée de Log4J


Une fois les applications et équipements vulnérables identifiés, le seul moyen d’éliminer la vulnérabilité est d’installer la version corrigée de Log4j : 17,0.

Attention le correctif initial ([log4j v.2.15] était incomplet dans certaines configurations autres que celles par défaut [CVE-2021-45046] et une vulnérabilité de déni de service [CVE-2021-45105] a été corrigée dans la version 2.17.0 pour les utilisateurs de Java 8.

L’ANSSI recommande d’utiliser :

  •  a minima la version 2.16.0 pour java 8 

  •  a minima la version 2.12.2 pour java 7 

  •  idéalement la version 2.17.0 pour java 8 ou la version 2.12.3 pour java 7 ; 


Mettre en place un pare-feu d’application web (WAF) avec des règles axées sur Log4j


L’inventaire des applications utilisant Log4J peut prendre du temps et être très complexe à mettre en place pour les PME, TPE ou organisations ne disposant pas des compétences et ressources (experts en cybersécurité, DevSecOps, consultant SI, etc.) nécessaires en interne.

En attendant, le moyen le plus efficace pour bloquer les requêtes malveillantes ciblant Log4j est d’utiliser un pare-feu d’application web (WAF). En effet les WAF peuvent filtrer les flux entrants afin de détecter et de bloquer les requêtes suspectes. Il faut donc rapidement les mettre à jour afin qu’ils intègrent les principaux marqueurs d’exploitation de la faille.

Toutefois, le centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques (CERT)  avertit sur le fait que bloquer les tentatives d’exploitation de cette vulnérabilité via un pare-feu applicatif peut constituer une première mesure d’urgence, mais que cela reste insuffisant.

Les cyberattaquants utilisent en effet déjà des techniques d’obscurcissement des données injectées pour contourner les filtres.

Alerter en cas d’attaque exploitant Log4Shell

En plus de la liste des vulnérabilités touchant Log4J d’Apache, une liste d’outils et de dépendances affectées par la vulnérabilité Log4Shell aimantée par ses utilisateurs 

est également disponible à l’adresse : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Cette démarche doit être généralisée et inclure notamment les fournisseurs de solutions Cloud pour répertorier toutes les solutions susceptibles d’embarquer une version à risque de Log4J et y apporter les correctifs nécessaires.

Et vous en tant que professionnel de l’IT, avez-vous été confronté à la vulnérabilité Log4Shell ? N’hésitez pas à nous partager vos retours d’expériences, témoignages ou simplement avis sur le forum IT.

Sources et liens utiles :

Boostez vos projets IT

Les meilleures missions et offres d’emploi sont chez Free-Work

S’inscrire gratuitement Postulez en un clic !
Continuez votre lecture autour des sujets :

Commentaire

Dans la même catégorie

Au service des talents IT

Free-Work est une plateforme qui s'adresse à tous les professionnels des métiers de l'informatique.

Ses contenus et son jobboard IT sont mis à disposition 100% gratuitement pour les indépendants et les salariés du secteur.

Free-workers
Ressources
A propos
Espace recruteurs
2024 © Free-Work / AGSI SAS
Suivez-nous