La CISA ordonne aux agences fédérales de patcher Log4Shell d’ici le 24 décembre

CISA orders federal agencies to patch Log4Shell by December 24th

La Cybersecurity and Infrastructure Security Agency (CISA) a ordonné aux agences fédérales de corriger les systèmes contre la vulnérabilité critique Log4Shell et a publié des directives d’atténuation en réponse à une exploitation active.

Cela fait suite à l’avance des acteurs de la menace dans la recherche et l’exploitation des systèmes vulnérables de Log4Shell pour déployer des logiciels malveillants.

Même si Apache a rapidement publié un correctif pour corriger la faille d’exécution de code à distance de gravité maximale (CVE-2021-44228) ciblée par les exploits publiés vendredi, cela ne s’est produit qu’après que les attaquants ont commencé à déployer les exploits dans la nature.

Étant donné qu’Apache Log4j est une dépendance omniprésente pour les applications et les sites Web d’entreprise, il est fort probable que son exploitation continue finira par entraîner des attaques généralisées et le déploiement de logiciels malveillants.

Nous avons également publié un article avec une liste de produits vulnérables et des avis de fournisseurs et plus d’informations sur la vulnérabilité Log4Shell.

Guide d’atténuation Log4Shell

CISA a maintenant créé un page dédiée avec des détails techniques sur la faille de la bibliothèque de journalisation Apache Log4j et des informations sur les correctifs pour les fournisseurs et les organisations concernées.

« CISA exhorte les organisations à revoir sa page Web Apache Log4j Vulnerability Guidance et à passer à Log4j version 2.15.0, ou à appliquer immédiatement les mesures d’atténuation recommandées par le fournisseur », a déclaré l’agence de cybersécurité. mentionné.

La liste des actions de toutes les organisations utilisant des produits exposés aux attaques de la bibliothèque Log4j comprend :

  • Examen d’Apache Page Vulnérabilités de sécurité de Log4j pour plus d’informations.
  • Application immédiate des correctifs disponibles. Voir Le prochain référentiel GitHub de CISA pour connaître les produits concernés et les informations sur les correctifs.
  • Mener un examen de sécurité pour déterminer s’il y a un problème de sécurité ou un compromis. Les fichiers journaux de tous les services utilisant les versions Log4j affectées contiendront des chaînes contrôlées par l’utilisateur.
  • Signaler immédiatement les compromissions à CISA et le FBI

En plus de corriger tous les produits utilisant la bibliothèque vulnérable, CISA recommande également de prendre trois étapes supplémentaires immédiates : énumérer les points de terminaison connectés à Internet qui utilisent Log4j, s’assurer que les SOC agissent sur chaque alerte sur les appareils exposés à Internet et installer un pare-feu d’application Web (WAF) qui se met à jour automatiquement.

Les agences fédérales ont reçu l’ordre de patcher avant Noël

Le 10 décembre, jour de la publication en ligne des exploits Log4Shell, CISA a également ajouté la vulnérabilité Apache Log4j CVE-2021-44228 au Catalogue des vulnérabilités exploitées connues.

Il s’agit d’un catalogue de centaines de vulnérabilités de sécurité exploitées exposant les réseaux gouvernementaux à des risques importants si elles sont exploitées avec succès par des acteurs malveillants.

Conformément au BOD 22-01 (Réduire le risque significatif de vulnérabilités exploitées connues) publié en novembre, toutes les agences exécutives civiles fédérales doivent désormais atténuer Log4Shell sur les systèmes d’information fédéraux connectés et non connectés à Internet d’ici le 24 décembre 2021.

« CISA travaille en étroite collaboration avec nos partenaires des secteurs public et privé pour traiter de manière proactive une vulnérabilité critique affectant les produits contenant la bibliothèque logicielle log4j. Cette vulnérabilité, qui est largement exploitée par un ensemble croissant d’acteurs de la menace, présente un défi urgent pour les défenseurs du réseau étant donné sa large utilisation », a déclaré la directrice de la CISA, Jen Easterly, dans un communiqué publié ce week-end.

« Pour être clair, cette vulnérabilité présente un risque grave. Nous ne minimiserons les impacts potentiels que grâce à des efforts de collaboration entre le gouvernement et le secteur privé. Nous exhortons toutes les organisations à se joindre à nous dans cet effort essentiel et à prendre des mesures. »