Pour gérer vos consentements :
Categories: Sécurité

Log4j : le périmètre des correctifs s’étend

Arctic Wolf, BinaryDefense, Datto, FullHunt… Autant d’outils de détection et/ou de remédiation spécifiques à Log4j. Le CESIN les mentionne tous dans un guide à destination des entreprises et des collectivités.

Ce guide, publié le 13 décembre dernier, a déjà fait l’objet de deux mises à jour. La dernière date du 30 décembre. Elle ajoute, entre autres, un tableau récapitulatif des failles signalées jusque-là dans Log4j.

Ces failles sont désormais au nombre de quatre. En tête de liste, celle qui avait « tout déclenché » : la CVE-2021-44228, qu’on a appelée Log4Shell. Connue du public depuis le 9 décembre, elle avait entraîné la publication d’un correctif (Log4j 2.15) pour les environnements Java 8 – et versions ultérieures.

Quelques jours plus tard, la fondation Apache avait publié un deuxième correctif, applicable à partir de Java 7. Objectif : corriger la CVE-2021-45046, moins critique que Log4Shell, mais pouvant entraîner un déni de service sur certaines configurations.

Le 18 décembre, on avait eu droit à une nouvelle révélation. En l’occurrence, l’existence d’une troisième vulnérabilité (CVE-2021-45105), elle aussi susceptible d’occasionner des DoS. Le périmètre des correctifs s’était étendu à Java 6.

La semaine dernière s’y est ajoutée la CVE-2021-44832. Elle présente un risque d’exécution de code à distance. Vecteur : le composant JNDI qui stocke les logs en base de données. La solution ? Si possible, installer Log4j 2.3.2, 2.12.4 ou 2.17.1.

Log4j : la question des sous-traitants

Le CESIN évoque un certain nombre d’attaques avérées chez ses membres. Parmi elles, l’injection de cryptomineurs, l’exploitation des failles par des malwares (exemple : StealthLoader) et le dépôt de ransomwares (exemple : Khonsari).

Les échanges avec les membres du CESIN ont fait apparaître de l’incertitude quant à la gestion de la crise par les sous-traitants. Aussi le guide comporte-t-il, en français et en anglais, des modèles de questionnaires à adresser aux éditeurs de logiciels ; SaaS d’un part, on-prem de l’autre.

Au-delà des outils et des scripts dont il fait mention, le CESIN pousse les analyses manuelles, notamment par échantillonnage. Et attire l’attention sur divers risques, dont l’infection de postes de développeurs et la restauration de backups avec des versions vulnérables.

Photo d’illustration © monsitj – Adobe Stock

Recent Posts

Guerre en Ukraine : les PME et ETI redoutent les cyberattaques

Le CESIN publie une étude qui témoigne d’une vraie « cyber-crispation » des dirigeants d’entreprises…

28 minutes ago

Logiciels : Broadcom convoite VMware, qui bondit de 20%

Le fabricant américain de semi-conducteurs Broadcom pourrait acquérir VMware, spécialiste de la virtualisation et des…

17 heures ago

Cybersécurité : Microsoft recrute encore pour renforcer ses produits

Microsoft a recruté Jason Roszak, chef de produit réputé, pour optimiser la gestion des serveurs…

18 heures ago

Antennes 5G : Deutsche Telekom explore l’éolien pour les alimenter

Utiliser l’énergie éolienne pour contenir la flambée des coûts de l’électricité en Allemagne, c'est le…

20 heures ago

Souveraineté numérique : le choix de Bruno « Bercy » Le Maire

La compétence "numérique" est étendue aux prérogatives de Bruno Le Maire, reconduit à la tête…

23 heures ago

Windows 11 : Microsoft se rapproche de la disponibilité d’Android 12.1

Microsoft a publié une mise à jour qui permet, pour les testeurs de Windows 11,…

1 jour ago