Le «vaccin» contre la vulnérabilité Log4Shell a un potentiel et des limites

décembre 12, 2021 Par admin 0
Le «vaccin» contre la vulnérabilité Log4Shell a un potentiel et des limites

5) )

5)Crédit image: Getty Images






Écoutez les DSI, les CTO , et d'autres cadres supérieurs et cadres supérieurs sur les stratégies de données et d'IA lors du Sommet sur l'avenir du travail le 12 janvier 2022.

Apprendre encore plus




Un «vaccin» contre la vulnérabilité Log4Shell semble offrir un moyen de réduire les risques liés à la faille généralisée affectant les serveurs qui exécutent Apache Log4j. Le script a été développé par des chercheurs du fournisseur de sécurité Cybereason et publié gratuitement vendredi soir, à la suite de la divulgation de la vulnérabilité critique zero-day jeudi soir. La vulnérabilité Log4Shell affecte Apache Log4j, une bibliothèque de journalisation Java open source largement déployée dans les services cloud et les logiciels d'entreprise. La faille est considérée comme très dangereuse car elle peut permettre l'exécution de code à distance (RCE) – dans laquelle un attaquant peut accéder et contrôler à distance des périphériques – et est également considérée comme assez facile à exploiter. Log4Shell est « probablement le plus important dans une décennie », et pourrait finir par être « le plus important de tous les temps », a déclaré samedi le PDG de Tenable, Amit Yoran, sur Twitter.

Vulnérabilité généralisée

Selon W3Techs, environ 31,5% de tous les sites Web fonctionnent sur des serveurs Apache. La liste des entreprises dotées d'une infrastructure vulnérable comprendrait Apple, Amazon, Twitter et Cloudflare. Des fournisseurs tels que Cisco, VMware et Red Hat ont publié des avis sur les produits potentiellement vulnérables.

«Cette vulnérabilité, qui est largement exploitée par un nombre croissant d'acteurs de la menace , présente un défi urgent pour les défenseurs du réseau compte tenu de sa large utilisation », a déclaré Jen Easterly, directrice de l'Agence fédérale de cybersécurité et de sécurité des infrastructures (CISA), dans un communiqué publié samedi.

La vulnérabilité a affecté la version 2.0 à la version 2.14.1 d'Apache Log4j, et il est conseillé aux organisations de mettre à jour vers la version 2.15.0 le plus rapidement possible.

Acheter du temps

Mais l'application de correctifs peut être un processus fastidieux. Pour compléter les efforts de correctifs, Cybereason affirme que son outil, qu'il appelle «Logout4Shell», a le potentiel d'«immuniser» les serveurs vulnérables, offrant une protection contre les exploits des attaquants qui ciblent la faille.

Bien que la mise à jour vers la dernière version de Log4j soit sans aucun doute la meilleure solution, l'application de correctifs est souvent complexe, nécessitant un cycle de publication et un cycle de test, a déclaré Yonatan Striem-Amit, cofondateur et directeur de la technologie chez Cybereason. « Beaucoup d'entreprises ont du mal à déployer des correctifs d'urgence », a-t-il déclaré dans une interview avec VentureBeat. pour les équipes de sécurité alors qu'elles travaillent au déploiement de correctifs, a déclaré Striem-Amit. Le correctif désactive la vulnérabilité et permet aux organisations de rester protégées pendant qu'elles mettent à jour leurs serveurs, a-t-il déclaré.

Cybereason a décrit le correctif comme un «vaccin» car il fonctionne en tirant parti de la vulnérabilité Log4Shell elle-même.

« Le correctif utilise la vulnérabilité elle-même pour définir l'indicateur qui la désactive », a écrit Striem-Amit dans un article de blog. «Parce que la vulnérabilité est si facile à exploiter et si omniprésente, c'est l'un des très rares moyens de la fermer dans certains scénarios.»

De plus, le correctif Cybereason est «relativement simple» car seules des compétences de base en Java sont nécessaires pour l'implémenter, a-t-il écrit.

Potentiel d'aide

Avec l'outil Logout4Shell, les équipes de sécurité peuvent «prendre un serveur que vous soupçonnez d'être vulnérable et insérez la chaîne dans des endroits que vous pensez être potentiellement vulnérables. Si votre application n'est pas du tout vulnérable, rien ne se passe », a déclaré Striem-Amit à VentureBeat.

« Cependant, si votre serveur est vulnérable à cette attaque, l'exploit se déclenchera, ce qui téléchargera le code que nous fournissons », a-t-il déclaré. « Et ce que fait ce code source, c'est d'entrer dans la configuration et de désactiver les composants vulnérables. Le serveur continue donc de fonctionner, personne n'en est plus avisé, mais toute tentative future d'exploiter cette vulnérabilité ne fera rien. Le composant vulnérable est maintenant désactivé, et vous avez terminé. »

Casey Ellis, fondateur et directeur de la technologie de la plateforme de bug bounty Bugcrowd, a déclaré à VentureBeat que le Cybereason le correctif semble être efficace et avoir le potentiel d'aider les équipes de sécurité.

Ellis a déclaré qu'en raison de la complexité des tests de régression Log4j, un certain nombre d'organisations qui recherchent les solutions de contournement contenues dans l'outil Cybereason comme approche principale. vulnérabilité elle-même pour y parvenir », a-t-il déclaré. «Mais je m'attendrais à ce qu'au moins certains utilisent l'outil de manière sélective et situationnelle.»

Limitations

Il existe cependant quelques limitations pour le correctif Cybereason.

D'une part, l'atténuation ne fonctionne pas avant la version 2.10 de Log4j. L'exploit doit également «tirer correctement» pour être efficace, a déclaré Ellis. « Et même lorsqu'il fonctionne correctement, il laisse toujours le code vulnérable en place », a-t-il déclaré.

Néanmoins, « cela me semble très intelligent » option de dernier recours », a déclaré Ellis. «De nombreuses organisations ont actuellement du mal à inventorier où Log4j existe dans leur environnement, et la mise à jour d'un composant comme celui-ci nécessite une analyse de dépendance afin d'éviter de casser un système dans le but de corriger une vulnérabilité.»

Tout cela «représente beaucoup de travail. Et disposer d'un outil «Tir et oublier» pour nettoyer tout ce qui a pu être manqué à la fin semble être un scénario dans lequel de nombreuses organisations se retrouveront dans les semaines à venir », a-t-il déclaré.

En fin de compte, Ellis a déclaré qu'il considérait le correctif Cybereason comme un outil supplémentaire plutôt qu'une panacée.

 » C'est une solution de contournement avec un certain nombre de limitations », a-t-il déclaré. «[But] il a un potentiel intrigant en tant qu'outil dans la boîte à outils, car les organisations réduisent le risque Log4j. Et s'il est logique pour eux de l'utiliser, l'une des principales raisons sera la rapidité de la réduction des risques. Commentaires positifs

Striem-Amit a déclaré à VentureBeat qu'il avait vu une grande quantité de des commentaires positifs sur Logout4Shell, sur Twitter et d'autres sites Web, mais a déclaré que Cybereason n'en suivait pas l'utilisation. sont affectés par la vulnérabilité Log4Shell—prévoit également de développer une version de l'outil Logout4Shell qui peut prendre en charge les versions antérieures de Log4j, afin que tous les serveurs puissent être protégés à l'aide de cette méthode, a-t-il déclaré.

Il est important de noter que, selon Striem-Amit, personne ne devrait considérer l'outil comme une solution «permanente» pour remédier à la vulnérabilité Log4Shell.

» L'idée n'est pas qu'il s'agisse d'une solution à long terme », a-t-il déclaré. «L'idée est que vous gagnez du temps pour appliquer maintenant les meilleures pratiques: corrigez votre logiciel, déployez une nouvelle version et toutes les autres choses nécessaires à une bonne hygiène informatique.»

      VentureBeat

    • 5) La mission de VentureBeat est d'être une place de ville numérique pour que les décideurs techniques acquièrent des connaissances sur technologie de transformation et transaction. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :
        informations à jour sur les sujets qui vous intéressent
          nos newsletters

        contenu de leader d'opinion et accès à prix réduit à nos événements prisés, tels que Transformer 2021: En savoir plus

          fonctionnalités de mise en réseau, et plus

          Devenir membre