Le problème de sécurité Log4j/Log4Shell a été qualifié de vulnérabilité la plus importante et la plus critique de la dernière décennie. Comment pouvez-vous protéger votre organisation contre cette menace qui ne veut pas disparaître ?
En décembre 2021, une importante vulnérabilité en matière de cybersécurité a été identifiée sous le nom d’Apache Log4j. Des centaines de millions d’appareils à travers le monde étaient en danger, ce qui pouvait conduire à des cyberattaques dévastatrices susceptibles d’affecter un nombre incalculable d’entreprises, de gouvernements et d’organisations, ainsi que leurs chaînes d’approvisionnement.
Bien que cet événement se soit produit il y a plus d’un an, ses répercussions sont toujours d’actualité.
Également connu sous le nom de Log4jShell, le vaste champ d’application de ce problème et la difficulté de trouver chaque instance ou problème potentiel qui peut en découler font de Log4j une cible d’exploitation pour les années à venir.
Qu’est-ce que Log4j ?
Apache Log4j est une API de journalisation des changements à code source ouvert qui est fournie avec les produits logiciels d’IBM.
Les développeurs utilisent ce cadre pour enregistrer l’activité des utilisateurs et le comportement des applications. Disponible gratuitement auprès de l’Apache Software Foundation, Log4j a été téléchargé des millions de fois et figure parmi les outils les plus utilisés pour collecter des informations sur les réseaux informatiques, les sites web et les applications des entreprises, selon le Wall Street Journal.
La faille originale découverte en décembre 2021 permet à des attaquants potentiels d’exécuter du code à distance sur un ordinateur cible, ce qui peut les amener à voler des données, à installer des logiciels malveillants ou à prendre littéralement le contrôle de cet ordinateur.
Les incidents comprennent le piratage d’un système pour extraire de la crypto-monnaie et la création de logiciels malveillants pour détourner des ordinateurs en vue d’attaques à grande échelle sur l’infrastructure Internet. Cette vulnérabilité peut également permettre aux pirates d’installer des logiciels rançonneurs.
Comment mettre fin à une violation ?
Après la découverte de la vulnérabilité, on a enregistré environ 10 millions de tentatives d’exploitation par heure aux États-Unis, le secteur de la vente au détail étant le plus visé. Parmi les autres secteurs touchés, citons les technologies, les services financiers et l’industrie manufacturière.
Toutefois, selon le blog technologique Venture Beat, au début de l’année 2022, le nombre d’attaques a été inférieur aux prévisions.
Comment cela est-il possible ?
Certaines attaques ont été stoppées en cours de route, « comme chez CrowdStrike, où un groupe parrainé par l’État chinois a tenté d’exploiter la vulnérabilité Log4j et a été interrompu par des chasseurs de menaces », écrit Kyle Alspach dans « China-based group used Log4j flaw in attack, CrowdStrike says » (Un groupe basé en Chine a utilisé la faille Log4j dans une attaque, selon CrowdStrike).
La réponse massive de la communauté de la sécurité a permis d’arrêter l’hémorragie.
« Beaucoup des premiers outils publiés pour identifier les instances de Log4j dans un environnement étaient inefficaces et ne trouvaient qu’une partie des composants logiciels vulnérables parce qu’ils effectuaient une simple recherche de chemin de fichier », déclare Ben Lipczynski, responsable des services de sécurité d’Origina. « Nous avons utilisé plusieurs autres méthodes pour aider nos clients à détecter Log4J dans leurs environnements, de la validation avec la documentation de la licence à l’application du contexte pour comprendre l’installation exacte de nos clients, en passant par des moyens améliorés pour rechercher les composants vulnérables. »
C’est loin d’être fini
L’ampleur de cette vulnérabilité en fait une cible pour les testeurs de pénétration et les acteurs de la menace pendant des mois, voire des années.
« L’urgence d’identifier les endroits où il est utilisé et de mettre à jour le logiciel avec le correctif reste plus critique que jamais », écrit Chester Wisniewski dans « Log4Shell : No Mass Abuse, But No Respite, What Happened ? » (Pas d’abus massif, mais pas de répit, que s’est-il passé ?)
Et il n’est pas le seul. D’autres experts en cybersécurité ont fait des commentaires similaires, affirmant que les pires attaques pourraient survenir plusieurs années plus tard.
Selon M. Lipczynski, les acteurs de la menace peuvent utiliser Log4J pour obtenir un accès, se déplacer latéralement et établir une présence persistante dans les réseaux des victimes. Cet accès peut être vendu à d’autres organisations criminelles ou utilisé pour lancer une attaque à une date ultérieure. Une fois qu’une présence persistante a été établie sans être détectée, même la suppression des composants vulnérables de Log4J ne suffira pas.
Il est clair que la menace des vulnérabilités liées au problème de Log4j n’est pas écartée.
Que pouvez-vous faire pour rester protégé ?
Comprendre les risques opérationnels potentiels de votre organisation dans un contexte technologique et opérationnel est la première étape pour déterminer votre niveau de risque. Cela inclut toutes les technologies, les personnes, les processus et les objectifs. Il s’agit ensuite de mettre en œuvre une méthodologie de gestion des risques.
Par exemple, lorsqu’Origina a commencé à recevoir de nouvelles demandes d’assistance pour la vulnérabilité Log4j, nos experts mondiaux indépendants d’IBM ont été en mesure de déterminer avec précision quels produits logiciels IBM contenaient le composant open-source Log4j, ce qui leur a permis de suivre un processus éprouvé en quatre étapes pour aider les clients à localiser et à atténuer la menace.
Cette approche en quatre étapes comprenait les éléments suivants :
- Comprendre le contexte.
Sachez quel type de fichier Log4j ou quelle version vous possédez, ainsi que la fonction opérationnelle et l’importance de ce fichier pour l’entreprise. Il faut également bien comprendre l’architecture et les vulnérabilités potentielles.« Nous avons découvert qu’une grande majorité de nos clients n’avaient pas besoin de Log4j. Certains utilisaient des solutions alternatives, telles que la journalisation native Java, et d’autres n’en utilisaient aucune », explique M. Lipczynski. « Nous avons appliqué le principe de la moindre fonctionnalité et, au terme d’un processus minutieux, notre équipe a confirmé que Log4j n’était pas nécessaire pour certains de nos clients, de sorte qu’il a été supprimé de leurs systèmes ».
- Évaluer le risque.
Évaluer plusieurs domaines de risque différents, y compris le risque d’impact pour le client si la vulnérabilité est exploitée. Il faut également tenir compte de la probabilité que la menace soit mise à exécution et de la manière dont les mesures d’atténuation pourraient affecter les activités de l’entreprise. Enfin, discutez du résultat souhaité, du niveau de risque acceptable et de la méthode d’établissement des rapports. - Appliquer des mesures de défense et d’approfondissement.
Soutenir la mise en œuvre de mesures d’atténuation et confirmer l’efficacité de ces mesures. S’assurer que ces actions n’ont pas eu d’impact sur les activités de l’entreprise. - Analysez les avantages.
Après avoir suivi les trois premières étapes, vous devriez disposer d’un processus de gestion des risques plus efficace et plus proactif, avec une vue d’ensemble claire de vos risques et de vos mesures d’atténuation, ainsi qu’une nouvelle vision de l’impact de votre organisation et de la manière de donner la priorité aux problèmes futurs.
En mettant en œuvre cette réponse, Origina a été en mesure de fournir une résolution moyenne de trois jours pour nos 115 clients qui avaient des problèmes avec Log4j. Il s’agit notamment de sécuriser les environnements des clients et de prendre de multiples mesures d’atténuation lorsque de nouvelles versions de Log4j ont été publiées en succession rapide.
Notre monde numérique exige des décideurs informatiques qu’ils aient une compréhension complète de l’environnement des menaces dans lequel ils opèrent, y compris d’autres problèmes potentiels tels que la vulnérabilité Log4j. Il est essentiel de consulter régulièrement les facteurs de risque de votre entreprise afin d’être prêt la prochaine fois qu’un problème de cette ampleur se produira.