En décembre, la Fondation Apache Software a publié successivement des informations sur deux vulnérabilités critiques dans sa bibliothèque Java Log4j.
La première vulnérabilité CVE-2021-44228, également connue sous le nom de Log4Shell ou LogJam, a été signalée comme une vulnérabilité d'exécution de code à distance (RCE) non authentifiée. En exploitant la façon dont la bibliothèque consigne les messages d'erreur, elle pourrait conduire à une prise de contrôle complète du système. En raison de sa nature critique et de sa facilité d'exécution, elle a reçu la note maximale CVSS (Common Vulnerability Scoring System) de 10. La deuxième vulnérabilité, CVE-2021-45046, a été découverte peu de temps après la correction du problème initial. Elle est notée 3,7 sur 10 par le CVSS et entraînerait un déni de service (DoS). Des correctifs ont été publiés pour corriger les deux vulnérabilités.
Pourquoi devriez-vous vous intéresser à Log4j ?
Log4j est l'une des bibliothèques de journalisation les plus utilisées dans le monde. L’objectif est d’assurer la cohérence des données un utilisant un journal. Les capacités de journalisation de Log4j sont adaptables et la rendent utile pour tout type d'infrastructure ou d'application. D'innombrables applications d'entreprises, gouvernementales et open-source utilisent Log4j. Par conséquent, tout le monde a rapidement apporté des correctifs à son logiciel depuis l'annonce des vulnérabilités.
Exécution de code à distance (CVE-2021-44228)
La portée potentielle de la vulnérabilité initiale RCE CVE-2021-44228 est stupéfiante. Tout appareil ou application connecté à l'Internet et utilisant les versions 2.0-2.14.1 de Log4j est à risque.
En outre, l'exploitation de la vulnérabilité est relativement simple. En envoyant simplement une chaîne malveillante qui est ensuite enregistrée par l'application, les attaquants peuvent exploiter une fonctionnalité de Log4j qui peut être utilisée pour récupérer des informations.
Dans ce cas, les attaquants utilisent l'interface JNDI (Java naming and Directory Interface) pour effectuer une requête sur le réseau externe afin de récupérer la charge utile malveillante sous la forme d'un fichier Java. À partir de là, l'attaquant est libre de diffuser n'importe quel logiciel malveillant ou porte dérobée dans l'infrastructure.
Déni de service (CVE-2021-45046)
La deuxième vulnérabilité CVE-2021-45046 a été découverte peu après la publication du correctif initial. Selon la description du CVE, le correctif initial était "incomplet" et cette nouvelle vulnérabilité "pourrait permettre aux attaquants... de créer des données d'entrée malveillantes en utilisant un modèle de consultation JNDI, ce qui entraînerait une attaque par déni de service (DoS)".
Action clé : Appliquer le dernier correctif dès que possible
Mettez immédiatement à jour tout serveur, application ou ressource qui utilise Log4j avec le dernier correctif. Ce patch couvre à la fois la dernière vulnérabilité DoS et la vulnérabilité RCE originale.
Comment le SASE peut vous aider à vous protéger contre ce type de risque
Dès que la démonstration de faisabilité (PoC) a été publié sur Github, les acteurs de la menace ont commencé à scanner activement l'Internet à la recherche d'actifs vulnérables. Les clients de Lookout qui utilisent la plateforme de sécurité Lookout, la solution Secure Access Service Edge (SASE), sont équipés de plusieurs moyens pour protéger leurs données sensibles et atténuer les risques associés à cette vulnérabilité.
Restreindre l'accès aux applications privées
Pour limiter les risques d'exfiltration de données, les entreprises doivent restreindre l'accès à leurs applications fonctionnant sur des centres de données d'infrastructure en tant que service (IaaS) et sur site, en utilisant l'accès réseau Zero Trust (ZTNA). En mettant en œuvre une segmentation utilisateur-application avec ZTNA, les applications sont masquées et ne sont pas ouvertement accessibles via Internet. En outre, ZTNA limite la possibilité pour les attaquants d'utiliser des informations d'identification volées pour accéder à ces ressources, se déplacer latéralement et découvrir des données sensibles à exfiltrer.
Surveiller les comportements des utilisateurs et des applications
Les organisations doivent mettre en œuvre des stratégies de défense en profondeur en surveillant étroitement le comportement des utilisateurs et des applications. En signalant les comportements indiquant un exploit, tels qu'un emplacement de connexion anormal ou un volume inhabituel de téléchargement de fichiers, vous serez en mesure de détecter et de répondre aux activités malveillantes dans votre infrastructure dans le cloud et sur site, ainsi que sur vos Endpoints.
Cryptage des données sensibles
Lookout SASE intègre également la gestion des droits numériques d'entreprise (EDRM) pour chiffrer les données afin que seuls les utilisateurs autorisés y aient accès, même si elles circulent hors ligne. Les données sensibles sont identifiées dynamiquement par la prévention des pertes de données (DLP) avec l’Exact Data Match (EDM) et la reconnaissance optique des caractères (OCR). Elles sont ensuite classées comme sensibles par Microsoft AIP et Titus. Cela vous permet d'élaborer un certain nombre de politiques d'accès et de protection des données qui s'appliquent à toutes les données basées sur le cloud ou sur site.
Surveiller les applications connectées
Les applications connectées sont des applications tierces qui s'intègrent via des tokens d'authentification tels que OAuth ou JSON Web Tokens à des plateformes telles que Office 365, Google Workspace et Salesforce. Ces apps restent le plus souvent invisibles mais peuvent tout de même charger et télécharger des données à partir des plateformes avec lesquelles elles sont intégrées. Lookout SASE peut découvrir et surveiller les activités suspectes des applications connectées, tout en fournissant des capacités de remédiation, d'alerte, de révocation d'accès et de blocage.
Auteur : Lookout.
Réagissez en laissant votre commentaire !