Blog

You are currently viewing Alerte de sécurité Log4Shell : la réponse des partenaires Exer

Alerte de sécurité Log4Shell : la réponse des partenaires Exer

LOG4SHELL, qu’est-ce que c’est ?

Début décembre 2021, une vulnérabilité Zero-Day de type RCE (Remote Code Execution) concernant la librairie log4j a été découverte par Chen Zhaojun. Elle est désormais connue sous le nom de Log4Shell ou via le numéro CVE-2021-44228. Cette librairie est largement utilisée dans le framework Apache et son écosystème. Log4Shell est considérée comme une vulnérabilité critique de type supply chain (CVSS de 10) car son impact est très élevé du fait qu’elle permet une prise de contrôle à distance du serveur.

Les spécialistes du secteur de la cybersécurité sont inquiets concernant Log4Shell car c’est une vulnérabilité qui est actuellement déjà exploitée, de plus les mises à jour de ce type de logiciel peuvent être longue et selon eux il faudra plusieurs mois / années avant que tous les logiciels impactés soient patchés.

Quels systèmes sont vulnérables ?

Concernant les systèmes pouvant être affectés par cette vulnérabilité le gouvernement a communiqué la liste suivante :

• Apache Log4j versions 2.16.0 et 2.12.2 (java 7)

• Apache Log4j version 2.15.0

• Apache Log4j versions 2.0 à 2.14.1

• Apache Log4j versions 1.x (versions obsolètes) sous réserve d’une configuration particulière, cf. ci-dessous

• Les produits utilisant une version vulnérable de Apache Log4j : les CERT nationaux européens tiennent à jour une liste complète des produits et de leur statut vis-à-vis de la vulnérabilité

La réponse des partenaires Exer : Stormshield, F-Secure, Extreme Networks et Radware

Stormshield

A l’annonce de cette vulnérabilité notre partenaire Stormshield a mené une étude d’impact sur l’ensemble des solutions de sa gamme (dont les services SaaS) et en a publié les résultats afin d’informer les utilisateurs

Les résultats de l’étude Stormshield

D’après cette étude d’impact seule la solution SVC en version 1.6 est vulnérable à Log4Shell. Les équipes ont donc tout de suite proposé un contournement sur leur site Advisories.

Le protocole Stormshield

F-Secure

Afin de répondre à la vulnérabilité Log4Shell, les équipes F-Secure proposent tout d’abord à leurs utilisateurs plusieurs méthodes pour la détecter grâce à la solution F-Secure Elements Vulnérability Management :

  1. Vérification des versions produit : Les applications et versions vulnérables au sein du réseau peuvent être détectées en lançant un scan système grâce à F-Secure Elements Vulnérability Management ou en menant une recherche à travers tous les endpoints avec F-Secure Elements Agents on endpoints.
  2. Crawler le disque pour identifier les fichiers : un scan peut être utilisé pour identifier les fichiers log4j vulnérables dans les systèmes Windows et Linux. Le scan crawlera à travers le disque local afin de mettre en évidence les fichiers vulnérables.
  3. Exploiter la vulnérabilité : une autre méthode pour détecter la vulnérabilité Log4Shell grâce à F-Secure Elements Vulnerability Management est le test d’exploitation inoffensif. Avec cette méthode utilisez un scan système non authentifié et un système d’exploitation innoffensif pour scanner tous les services web et leurs ports (e.g. 80, 443, 8080, 8081 or 8085)  en testant leurs vulnérabilités.    

Les équipes F-Secure ont mené une étude sur la vulnérabilité des solutions de leur gamme. Seuls les produits suivants sont affectés par la vulnérabilité CVE-2021-44228 :

  • F-Secure Policy Manager
    • Note: Seul le composant Policy Manager Server est affecté. Les installations autonomes de Policy Manager Console ne sont pas affectées.
  • F-Secure Policy Manager Proxy
  • F-Secure Endpoint Proxy
  • F-Secure Elements Connector
  • F-Secure Messaging Security Gateway
  • Les autres produits F-Secure ne sont PAS affectés

Une procédure de sécurisation est disponible sur le site de F-Secure 

Extreme Networks

Les équipes Extreme Networks ont elles aussi mené une étude sur leurs solutions afin de déterminer lesquelles étaient vulnérables à Log4Shel.

Voici la liste des produits potentiellement affectés :

Les résultats de l’étude Extreme Networks

Radware

Les solutions de sécurité des applications web Radware (AppWall et Cloud WAF Services) détectent et bloquent les attaques Log4Shell à travers les paramètres des applications web et les champs d’en-tête HTTP depuis le premier jour. Les solutions les reconnaissent comme étant des fausses requêtes du serveur.

Nombre d’attaques bloquées par Radware

Les équipes de recherche Radware développent des signatures qui peuvent être utilisées pour bloquer ces attaques et ont mis en place une méthodologie pour définir les signatures afin de bloquer ce CVE.

les signatures Radware

Du côté des solutions Exer aucune inquiétude à avoir , notre solution d’authentification forte Exer OTP n’utilise pas Log4j.

Nos équipes technique et commerciale sont à votre disposition pour vous accompagner dans vos démarches de sécurisation contre la vulnérabilité Log4Shell. N’hésitez pas à nous contacter !