Les agences de la branche exécutive civile fédérale des États-Unis ont reçu l’ordre de corriger la vulnérabilité de sécurité Log4Shell critique et activement exploitée dans la bibliothèque Apache Log4j dans les six prochains jours.
L’ordonnance découle d’une directive d’urgence émise aujourd’hui par la Cybersecurity and Infrastructure Security Agency (CISA).
Cela n’est pas surprenant étant donné le risque que pose l’exploitation continue de cette vulnérabilité et vu que la faille de sécurité (suivie sous le nom CVE-2021-44228) a également été récemment ajoutée au catalogue de vulnérabilités exploitées connues, qui nécessitait également une action accélérée pour atténuer le bug jusqu’en décembre. 24.
« Pour être clair, cette vulnérabilité présente un risque grave. Nous ne minimiserons les impacts potentiels que grâce à des efforts de collaboration entre le gouvernement et le secteur privé. Nous exhortons toutes les organisations à se joindre à nous dans cet effort essentiel et à prendre des mesures », a déclaré la directrice de la CISA, Jen Easterly, à le temps.
Atténuation Log4Shell requise jusqu’au 23 décembre
La nouvelle directive d’urgence (ED 22-02) exige en outre que les agences fédérales trouvent tous les appareils exposés à Internet vulnérables aux exploits de Log4Shell, les corrigent si un correctif est disponible, atténuent les risque d’exploitation, ou supprimer les logiciels vulnérables de leurs réseaux jusqu’au 23 décembre.
CISA indique également que tous les appareils exécutant des logiciels vulnérables aux attaques Log4Shell doivent être supposés être déjà compromis et nécessitent la recherche de signes d’activité post-exploitation et la surveillance de tout modèle de trafic suspect.
Les agences fédérales ont également eu cinq jours supplémentaires, jusqu’au 28 décembre, pour signaler tous les produits Java concernés sur leurs réseaux, y compris les noms des applications et des fournisseurs, la version de l’application et les mesures prises pour bloquer les tentatives d’exploitation.
« Bien que l’ED 22-02 s’applique aux agences FCEB, CISA recommande fortement que toutes les organisations examinent ED 22-02 pour des conseils en matière d’atténuation », a ajouté le CISA aujourd’hui.
Nous travaillons avec des partenaires privés et publics clés via #JCDC & partenaires fédéraux comme @FBI & @NSACyber pour gérer cette menace en constante évolution. Nous continuerons à mettre à jour notre page Web Log4j consolidée avec les dernières informations pour aider toutes les organisations à réduire leurs risques : https://t.co/qlZw2rh8y8
– Jen Easterly (@CISAJen) 17 décembre 2021
Guide d’atténuation Log4Shell
Plus tôt cette semaine, le CISA a publié un page dédiée avec des détails techniques concernant la faille Log4Shell et des informations sur les correctifs pour les organisations concernées.
CISA demande aux organisations de mettre à niveau vers Log4j version 2.16.0 ou d’appliquer immédiatement les mesures d’atténuation appropriées recommandées par les fournisseurs.
La liste des actions des organisations utilisant des produits exposés aux attaques utilisant les exploits Log4Shell comprend :
- Examen d’Apache Page Vulnérabilités de sécurité de Log4j pour plus d’informations.
- Application immédiate des correctifs disponibles. Voir Le prochain référentiel GitHub de CISA pour connaître les produits concernés et les informations sur les correctifs.
- Mener un examen de sécurité pour déterminer s’il y a un problème de sécurité ou un compromis. Les fichiers journaux de tous les services utilisant les versions Log4j affectées contiendront des chaînes contrôlées par l’utilisateur.
- Signaler immédiatement les compromissions à CISA et le FBI
La pression de CISA pour l’application de correctifs urgents aux systèmes vulnérables aux attaques Log4Shell suit l’avance des acteurs de la menace dans l’exploitation des systèmes vulnérables Log4Shell pour déployer des logiciels malveillants.
Comme nous l’avons signalé précédemment, ces attaques ont été orchestrées par des attaquants motivés financièrement qui ont injecté des mineurs de Monero, des pirates informatiques soutenus par l’État et même des gangs de ransomware. [1, 2].
Suite au signalement de l’exploitation continue de Log2Shell lors d’attaques généralisées, nous avons également publié plusieurs articles dédiés partageant une liste de produits vulnérables et des avis de fournisseurs, la raison pour laquelle vous devez immédiatement mettre à niveau vers Log4j2.16.0, ainsi que plus d’informations sur la vulnérabilité Log4Shell.