La vulnérabilité Log4j est mauvaise. Voici la bonne nouvelle

décembre 11, 2021 Par admin 0
La vulnérabilité Log4j est mauvaise.  Voici la bonne nouvelle

5) )

5)Crédit image: Getty Images






Écoutez les DSI, les CTO , et d'autres cadres supérieurs et cadres supérieurs sur les stratégies de données et d'IA lors du Sommet sur l'avenir du travail le 12 janvier 2022.

Apprendre encore plus




Une vulnérabilité critique découverte dans Log4j, une bibliothèque de journalisation Apache open source largement déployée, il est presque certain qu'elle sera exploitée par des pirates – probablement très bientôt. Les équipes de sécurité travaillent à plein régime pour corriger leurs systèmes, essayant d'éviter une calamité. (La violation massive des dossiers de confidentialité d'Equifax en 2017 impliquait une vulnérabilité similaire.) C'est une très mauvaise journée, et cela pourrait empirer bientôt.

Mais à certains égards au moins, les entreprises sont mieux à même d'éviter une catastrophe aujourd'hui que par le passé. Étant donné qu'en 2021, il existe désormais certains avantages lorsqu'il s'agit de répondre à un bogue zero-day de cette gravité, ont déclaré à VentureBeat les responsables de la sécurité et les chercheurs. avant tout, « le monde est prêt à répondre à ces divulgations, les entreprises s'empressant d'atténuer les problèmes en quelques heures », a déclaré Brian Fox, directeur de la technologie chez Sonatype, dans un e-mail. « Ce problème particulier est potentiellement plus dangereux car Log4j est largement adopté. l'équipe Apache Log4j a publié un correctif de toute urgence. La rapidité avec laquelle ils se sont déplacés a considérablement réduit le risque d'impacts à long terme sévèrement négatifs. Approche proactive

Dave Klein, directeur de la cyber-évangélisation chez Cymulate, a déclaré que si la gravité de la situation ne peut pas être minimisé – il s'attend à un exploit dans les 48 heures – la réponse à la découverte de la vulnérabilité montre que « nous devenons de mieux en mieux proactifs. »

« Dans le passé, vous n'aviez littéralement aucun jour qui durait deux ans », a déclaré Klein à VentureBeat. « Aujourd'hui, ça a vraiment changé. Ce que nous voyons, c'est une meilleure situation où le monde trouve des primes de bogues utiles, trouve des vulnérabilités, fait des preuves de concepts… Je dirais que c'est un excellent exemple de [security in] 2021.

De manière cruciale, l'équipe Apache Log4j « a travaillé du jour au lendemain d'une manière presque sans précédent pour comprendre et résoudre rapidement ce problème », a déclaré Fox. «Souvent, les rapports zéro jour peuvent mettre des mois à se concrétiser, du rapport à la publication. Celui-ci semble s'être produit en quelques jours. » , ce qui fait aussi la différence, a déclaré Klein.

« Pour moi, la cybersécurité est enfin arrivée à un point où la salle de conférence l'obtient. Et même s'ils ne le comprennent pas complètement, ils s'adressent à un responsable technique et lui disent : « Je dois mieux comprendre cela », a-t-il déclaré. «Ce qui se passe vraiment, c'est que le monde se réveille.»

Facteurs technologiques

En plus de cela, les technologies d'automatisation pour la numérisation de code open source, telles que l'analyse de la composition logicielle (SCA), ont trouvé adoption croissante ces dernières années. Il en va de même pour l'utilisation des capacités de détection et de réponse, qui pourraient être cruciales pour découvrir les menaces dans une situation comme celle-ci. bibliothèque Java maintenant que par le passé. « Il y a plus d'hétérogénéité dans l'espace de journalisation Java qu'il n'y en avait depuis longtemps », a déclaré Arshan Dabirsiaghi, cofondateur et scientifique en chef de Contrast Security, dans un e-mail. « Pendant longtemps, la seule chose que nous utilisions était Log4j. Ce n'est même plus la bibliothèque par défaut dans certains frameworks majeurs. et les recoins de notre empreinte informatique », a déclaré Dabirsiaghi. « Mais il y a cinq ans, ça aurait été bien pire. » ' vulnérabilité

Rien de tout cela ne minimise à quel point la situation est grave pour les équipes de sécurité et à quel point la situation est pire les choses pourraient se produire en cas d'exploit.

La menace posée par la vulnérabilité d'exécution de code à distance (RCE) dans Log4j est de permettre potentiellement à un attaquant d'accéder à distance et les dispositifs de contrôle.

« Étant donné que cette vulnérabilité est un composant de dizaines, voire de centaines de progiciels, elle pourrait se cacher n'importe où dans le réseau d'une organisation, en particulier les entreprises avec environnements et systèmes massifs », a déclaré Karl Sigler, directeur principal de la recherche en sécurité chez Trustwave SpiderLabs, dans un e-mail. Beaucoup de vacances vont manquer aux équipes de sécurité qui doivent répondre aux menaces essayant de tirer parti de cette vulnérabilité de masse », a déclaré Sigler. «Cette vulnérabilité aura une très longue traîne et ruinera probablement les week-ends et les vacances de nombreux professionnels de l'informatique et de la sécurité de l'information à travers le monde». l'échelle des appareils affectés et l'exploitabilité du bogue, « il est très probable qu'il attirera une attention considérable de la part des cybercriminels et des acteurs associés aux États-nations », a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows, dans un e-mail.

Mettez à jour et soyez vigilant

Les entreprises de sécurité affirment que la vulnérabilité a eu un impact sur la version 2.0 à la version 2.14.1 d'Apache Log4j. Les organisations sont « conseillées de mettre à jour vers la version 2.15.0 et de faire preuve d'une vigilance supplémentaire sur les journaux associés aux applications sensibles », a déclaré Morgan.

Un point positif est que la configuration les mesures d'atténuation de la vulnérabilité sont «simples» et peuvent être facilement mises en œuvre, a déclaré John Bambenek, principal chasseur de menaces chez Netenrich, dans un e-mail. Selon LunaSec, Steam et des applications, dont Minecraft, présentent des vulnérabilités à la vulnérabilité RCE.

En fin de compte, selon Amit Yoran, PDG de Tenable, «La bonne nouvelle, c'est que nous le savons.»

«Le fait qu'il soit révélé signifie que nous sommes dans une course pour le trouver et le réparer avant que les mauvais acteurs n'en profitent pleinement », a déclaré Yoran.

VentureBeat

La mission de VentureBeat est d'être une place de ville numérique pour les décideurs techniques afin de acquérir des connaissances sur la technologie transformatrice et effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :

    informations à jour sur les sujets qui vous intéressent
      nos newsletters

    contenu de leader d'opinion et accès à prix réduit à nos événements prisés, tels que Transformer 2021: En savoir plus

      fonctionnalités de mise en réseau, et plus

      Devenir membre