Log4Shell : une nouvelle vulnérabilité de sécurité critique

Log4Shell : une nouvelle vulnérabilité de sécurité critique

Décidément, 2021 n’aura pas été de tout repos pour les équipes TI et de Cybersécurité. En effet, après la vulnérabilité PrintNightmare et Proxyshell en Août 2021, la vulnérabilité Log4shell a été divulguée le 10 décembre 2021. Cette vulnérabilité de sécurité majeure, considérée comme les plus importantes jamais signalée, a forcé les organisations et gouvernements à prendre des mesures rapides et énergiques. Certains gouvernements tel que celui du Quebec ont carrément arrêté l’ensemble de leurs serveurs potentiellement impactés, le temps de vérifier s’ils sont vulnérables et les corriger, avant de les remettre en production



Qu’est ce que Log4shell ?

Log4Shell est une vulnérabilité de sécurité liée à Log4j qui est un utilitaire de journalisation très répandu sur tous les systèmes Java. Cet utilitaire est actuellement un projet de la fondation Apache et est distribué sous forme de logiciel libre. Vu qu’il fonctionne bien, il a été intégré dans plusieurs projets de développement logiciels s’appuyant sur Java. Java est encore largement utilisé, d'où le fait qu’un très grand nombre d’organisations soient potentiellement affectées par la vulnérabilité Log4Shell.

Détectée le 24 novembre 2021 par un expert en cybersécurité de Alibaba, Log4Shell a un niveau de sévérité de 10 (le niveau de sévérité la plus élevé) pour une vulnérabilité de sécurité.

Le numéro de vulnérabilité assigné à Log4Shell est CVE-2021-44228.



La vulnérabilité concerne JAVA et non les serveurs web Apache

Une certaine confusion existe sur le marché concernant la portée de la vulnérabilité Log4Shell. À des fins de clarification, noter que la vulnérabilité Log4Shell concerne JAVA et non les serveurs web Apache.

Vous ne pouvez pas être vulnérable a Log4Shell si vous n’utilisez pas JAVA.

Possibilité d'exécuter de code arbitraire à distance sans avoir besoin d’un accès valide dans votre réseau

L’exploitation de Log4Shell permet une exécution de code malicieux sur le serveur victime. En général, l'exécution d’un code sur une machine requiert que l’utilisateur ait un compte valide, qu’il se connecte via son mot de passe avant d'exécuter son code. Avec Log4shell l’utilisateur n’a pas besoin d’avoir un compte sur la machine victime.

Dès lors qu’il est possible d'exécuter du code arbitraire à distance sans authentification, il n’y a pas de limite à ce que le pirate peut faire comme attaque. Ainsi, selon Microsoft, des tentatives de distribution de ransomware via Log4shell ont été observées.

Une exploitation massive favorisée par le partage de code informatique d’attaque (exploits d’attaque)

Suite à la divulgation de Log4Shell, plusieurs programmes informatiques de test, dont l’objectif est de montrer comment la vulnérabilité peut être exploitée, ont commencé à fleurir sur Internet. Ces programmes sont appelés Preuve de concept (POC) ou exploits d’attaque. Une fois que des exploits d’attaque sont disponibles sur Internet, leur utilisation est à la portée de tous, y compris ceux qui ont des connaissances très sommaires en cybersécurité ou en programmation informatique. Il suffit de les télécharger, de les adapter et de les utiliser pour lancer des attaques. Un exemple de POC de Log4JShell peut être consulté ici.

Il est donc important de réagir très rapidement dès que des POC de vulnérabilités commencent à fleurir sur Internet, car c’est le signe que des attaques massives seront sans doute bientôt lancées.

L’ère de l’automatisation - Pour le meilleur et le pire

Aujourd’hui la très grande majorité des cyberattaques n’est plus lancée par des humains, mais par des robots/logiciels malicieux automatisés qui balaient Internet 24/7 à la recherche de systèmes vulnérables. Ces robots sont très souvent des ordinateurs de particuliers ou d’organisations que les pirates infectent (communément appelés zombies ou bots) et contrôlent à distance pour lancer des attaques contre des tiers. Il existe des millions de zombies contrôlés à travers le monde et ce nombre ne fait que croître.

L'exploitation de la vulnérabilité Log4Shell obéit à ce paradigme. Ce sont des robots/botnets qui sont en première ligne pour exploiter cette vulnérabilité. De ce fait, il faut agir rapidement pour identifier et corriger ses serveurs, pour éviter toute tentative d’exploitation.

L’importance de gérer continuellement les vulnérabilités de sécurité dans votre réseau

La gestion des vulnérabilités de sécurité est l’un des éléments les plus critiques en matière de cybersécurité. Voici nos recommandations pour gérer efficacement vos vulnérabilités de sécurité :

  • Mettre en place un processus formel de gestion des vulnérabilités de sécurité.
  • Faire un balayage de vulnérabilités régulièrement (1 fois par mois idéalement) et corriger les principales vulnérabilités identifiées
  • Prioriser la correction des vulnérabilités qui peuvent être exploitées à travers le réseau sans authentification.
  • Si des POC d’attaques commencent à apparaître, il est urgent de corriger la vulnérabilité





Voici nos recommandations pour vous protéger contre Log4Shell

  • Faire un balayage de vulnérabilités de sécurité dans votre parc informatique afin d’identifier si vous avez des systèmes vulnérables. Se focaliser prioritairement sur vos serveurs accessibles sur Internet. Ensuite, balayer vos serveurs internes. Vous pouvez le faire via des outils tels que NESSUS ou le CDS de Streamscan
  • Migrer vers la version 2.17.1 de Log4j pour java 8 ou la version 2.12.4 pour java 7
  • Déployer un système de détection d’intrusions (IDS/IPS/NDR) dans votre réseau. Assurez-vous que votre IDS/IPS/NDR dispose de signatures permettant de détecter Log4JShell. C’est le cas de la technologie CDS de Streamscan. Notre outil protége votre réseau contre les tentatives d’exploitation de cette vulnérabilité, pendant que vous identifiez et corrigez les serveurs qui ont cette vulnérabilité dans votre réseau.
  • Si vous avez trouvé des systèmes vulnérables dans votre réseau, extraire et analyser leurs logs depuis le 1er novembre 2021, afin de vous assurer qu’il n’y a pas eu une exploitation de la vulnérabilité.

Comment Streamscan peut vous protéger?

  • Bonne nouvelle, notre technologie de détection de cybermenaces CDS dispose de signatures et modèles de détection capables de détecter et bloquer les tentatives d’exploitation de la vulnérabilité Log4Shell. Notre technologie CDS est aussi capable de balayer votre réseau afin d’identifier si vous avez la vulnérabilité Log4Shell. Toutes les organisations qui utilisent notre technologie CDS ou notre service de monitoring de sécurité MDR sont donc protégées.
  • Notre technologie CDS surveille en continu votre réseau afin de détecter les cyberattaques et les comportements anormaux ou suspects qui s’y produisent. Elle protège donc votre réseau 24/7 contre les cyberattaques.
  • Pendant la correction de la vulnérabilité, nos analystes MDR restent alertes et gèrent proactivement la sécurité de votre réseau, ce qui nous permet de vous alerter 24/7 en cas de cyberattaque. Nous analysons les mouvements suspects et les attaques qui vous ciblent et les traitons en amont pour éviter qu’ils se transforment en problème. Nous agissons comme une extension de votre équipe TI et nous nous occupons de votre sécurité.

Besoin d’aide? StreamScan est là.

Que vous ayez besoin d'aide pour rehausser votre cybersécurité, contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au +1 877 208-9040.

CTA Webinaire