BLOG

Comment atténuer les vulnérabilités de Log4j aujourd'hui et arrêter les exploits futurs

Catherine Newcomb
Catherine Newcomb

Navi Gill

Navpreet Gill
Publié le 10 janvier 2022


Quelle est la vulnérabilité Log4j ?

Ces dernières semaines ont été difficiles pour de nombreuses personnes dans le monde de l’informatique. Le 9 décembre, une vulnérabilité zero-day critique a été découverte et annoncée dans la bibliothèque de journalisation omniprésente de l'Apache Software Foundation utilisée pour les applications Java connue sous le nom de Log4j. Des centaines de milliers de sites Web et applications utilisent ce logiciel pour effectuer la journalisation afin que les développeurs puissent déboguer leurs sites Web et suivre d'autres tendances pour leurs applications et pages Web. Il a été estimé que le framework Log4j est utilisé dans des centaines de milliers de projets logiciels open source. Les développeurs créent souvent des logiciels à partir de ces outils open source sans examiner le code sous-jacent, qui pourrait présenter des vulnérabilités existantes.

En guise de bref récapitulatif de la vulnérabilité Log4j et du type d’exploit qu’elle permet aux attaquants d’exécuter :

F5 Labs déclare : « Log4j présente une vulnérabilité de sécurité jusqu'alors inconnue : les données qui lui sont envoyées via ce site Web (si elles contiennent une séquence spéciale de caractères) entraînent Log4j à récupérer automatiquement des logiciels supplémentaires à partir d'un site Web externe et à les exécuter. Si un attaquant exploite cela, il peut faire en sorte que le serveur exécutant Log4j exécute n’importe quel logiciel de son choix, y compris un logiciel capable de prendre complètement le contrôle de ce serveur. C'est ce qu'on appelle une attaque d'exécution de code à distance (RCE).

Log4j présente un fort potentiel de perturbation des activités

En raison de la prévalence de Log4j, la vulnérabilité initiale CVE-2021-44228 (surnommée Log4Shell) a été déterminée comme étant une vulnérabilité critique. La gravité de cette vulnérabilité, ainsi que le fait que le correctif lui-même contenait une vulnérabilité et doit être corrigé , signifie que les professionnels de l’informatique risquent de devoir faire face aux conséquences de cette vulnérabilité pendant un certain temps. Ceci, associé au fait que le personnel informatique doit vérifier les références imbriquées de Log4j (c'est-à-dire vérifier si des bibliothèques utilisées dans leur logiciel font référence à la bibliothèque Log4j), signifie que Log4Shell peut entraîner un effet en cascade. Il peut être difficile de déterminer l’ampleur de l’impact que la vulnérabilité Log4j et Log4Shell peuvent avoir sur votre organisation. Obtenez une évaluation gratuite des menaces si vous craignez que votre organisation soit en danger.

Si vous ne l’avez pas encore fait, la première chose que toute organisation devrait faire pour atténuer les effets de Log4j est d’appliquer un PATCH ! Serveurs de correctifs exécutant Log4j. Corriger les logiciels à l'aide de bibliothèques qui exécutent Log4j. Appliquez simplement des correctifs et continuez à appliquer des correctifs !

Alors que votre organisation poursuit le processus essentiel et complet de découverte et de correction de ces vulnérabilités, il est essentiel de vous protéger contre les attaques utilisant les exploits Log4Shell et d'empêcher la propagation des dommages si un attaquant a déjà infiltré votre environnement. De plus, le 4 janvier, les États-Unis La Federal Trade Commission a publié un avis indiquant que les organisations qui ne parviennent pas à corriger les vulnérabilités Log4J d'Apache peuvent faire l'objet de poursuites judiciaires, soulignant l'importance de Log4j.

Même si vous avez appliqué tous les correctifs, il est important de se rappeler que Log4j n’est pas la première vulnérabilité de ce type et ne sera pas la dernière. C’est pourquoi il est essentiel de vous protéger de manière proactive contre les vulnérabilités actuelles et futures tout en disposant d’un plan pour protéger votre réseau si un attaquant profite d’une vulnérabilité de vos systèmes. Heureusement, une stratégie d’atténuation est relativement facile à mettre en œuvre.

Lorsqu'il s'agit d'atténuer les vulnérabilités telles que Log4j, assurez-vous de :

  1. Protégez proactivement votre organisation contre les attaques utilisant Log4Shell et d'autres vulnérabilités de ce type en mettant en œuvre un WAF
  2. Mettez en place des mesures de protection pour garantir que si votre organisation est attaquée, vous pouvez arrêter l'exploit dans son élan avant qu'il ne cause de graves dommages au sein de votre réseau.
  3. Effectuer un audit pour déterminer l'étendue complète de l'impact de la vulnérabilité
  4. Corrigez tout le code qui utilise ou fait référence à la vulnérabilité, en utilisant votre audit pour vous assurer qu'aucune exposition n'est laissée sans correction

Atténuer la vulnérabilité de Log4j avec des signatures bloquant les vecteurs d'attaque connus

Si rien n’est fait, les cyberattaquants peuvent rapidement prendre le contrôle de milliers de sites Web et d’applications en ligne, leur permettant ainsi de voler des données sensibles. La solution la plus efficace consiste à corriger le code de l’application avec la dernière version de Log4j et à bloquer les requêtes malveillantes avec un pare-feu application Web (WAF).

Vous devrez peut-être également protéger votre organisation contre les attaques Log4Shell tout en installant les correctifs nécessaires pour la vulnérabilité Log4j sur vos serveurs vulnérables et votre pile logicielle. C’est là qu’un WAF peut également aider.

Les solutions WAF F5, toutes construites sur le moteur WAF cohérent et robuste de F5 et disponibles dans des modèles de déploiement et de consommation pour répondre au mieux à vos besoins de sécurité, contribuent à atténuer l'impact de la vulnérabilité d'exécution de code à distance (RCE) d'Apache Log4j dans votre infrastructure. F5 propose quatre options pour protéger votre application avec notre moteur WAF robuste :

  1. F5 WAF avancé
  2. Protection des applications NGINX WAF
  3. Silverline WAF
  4. Volterra WAF

F5 a publié un ensemble de signatures qui bloquent les vecteurs d'attaque connus pour les vulnérabilités Log4j. F5 Advanced WAF et NGINX App Protect WAF peuvent bloquer les tentatives d’exploitation à l’aide de signatures spécifiques à l’injection Java Naming and Directory Interface (JNDI) et de signatures d’injection JNDI génériques. Ces signatures font partie de l'ensemble de signatures d'injection de code côté serveur qui est mis à jour en fonction de l'enquête continue sur la menace et des contournements WAF connus avec de nouvelles règles pour détecter efficacement les attaques Log4Shell. De cette façon, F5 WAF permet le « patching virtuel ». Cliquez ici pour obtenir une assistance en matière d’atténuation pour les produits de sécurité des application BIG-IP et NGINX.

F5 Advanced WAF offre des protections avancées bien au-delà de la simple défense contre le Top 10 de l'OWASP et est parfait pour les organisations axées sur la sécurité qui souhaitent autogérer et personnaliser les contrôles granulaires pour les applications traditionnelles. Si vous êtes déjà client F5 BIG-IP, vous disposez déjà du WAF le plus puissant du secteur, le moteur WAF F5, sur votre réseau. L'octroi d'une licence Advanced WAF sur BIG-IP, en particulier si vous êtes titulaire d'une licence F5 BEST, peut automatiser l'atténuation des menaces nouvelles et actuelles, améliorer l'efficacité de la sécurité pour une meilleure protection et débloquer l'apprentissage automatique et l'analyse comportementale pour une protection des applications sans contact. 

Pour une solution WAF autogérée conçue pour votre équipe Agile DevOps et conçue pour protéger votre infrastructure moderne ou un environnement Kubernetes, NGINX App Protect WAF répondra au mieux à vos besoins. Visitez le blog Atténuer la vulnérabilité log4j avec NGINX pour plus de détails sur NGINX App Protect WAF.

Si vous souhaitez bénéficier des mêmes protections que celles que vous souhaiteriez avec Advanced WAF ou NGINX App Protect WAF, mais que vous avez besoin ou préférez une approche sans intervention pour vous aider à atténuer immédiatement les exploits, un service géré comme Silverline WAF basé sur le cloud de F5 peut être la solution idéale. Silverline WAF est le service WAF de premier ordre entièrement géré de F5, offrant une solution complète pour protéger vos applications dans un environnement hybride ou multicloud, avec le soutien des experts en sécurité du SOC de F5. L'équipe SOC de F5 Silverline a mis en œuvre les mesures d'atténuation nécessaires, en surveillant en permanence les menaces et en appliquant les mesures d'atténuation et de protection requises contre les vulnérabilités telles que Log4j.

Notre plateforme Volterra WAF a également reçu des signatures mises à jour pour atténuer davantage toute exposition liée aux vulnérabilités de Log4j. Ces signatures sont désormais incluses dans la politique WAF par défaut et aucune action supplémentaire n'est requise pour nos clients WAF Volterra pour atténuer les attaques Log4Shell. Volterra WAF sera la meilleure option pour les utilisateurs qui recherchent un WAF cloud natif avec un déploiement basé sur SaaS.

Les offres et services F5 WAF (F5 Advanced WAF, NGINX App Protect WAF, F5 Silverline WAF et Volterra WAF) peuvent être utilisés et déployés de concert partout où ils sont nécessaires pour mieux répondre et protéger vos applications et vous défendre contre les menaces de la couche applicative.

De plus, les campagnes d’attaque avancées sont difficiles à détecter parmi les attaques singulières. F5 Threat Campaigns , disponible avec F5 Advanced WAF et/ou NGINX App Protect WAF, défend les applications et l'infrastructure informatique contre les attaques sophistiquées en détectant avec précision et en bloquant de manière proactive les campagnes d'attaque en cours. Bien que les WAF F5 constituent à eux seuls un point de contrôle de sécurité essentiel, les renseignements sur les menaces peuvent associer un incident d'attaque unique à une campagne plus étendue et plus sophistiquée, vous permettant ainsi de vous défendre contre des attaques ciblées susceptibles d'échapper aux politiques de sécurité WAF de base. Les campagnes de menaces peuvent être facilement ajoutées à votre déploiement Advanced WAF et NGINX App Protect WAF pour automatiser la sécurité afin de détecter et de bloquer les menaces.

Établir une défense contre les attaques Log4Shell en cas de compromission

Compte tenu du nombre de bibliothèques qui utilisent Log4j, il peut être difficile de déterminer immédiatement l’étendue complète de l’impact de la vulnérabilité pour votre organisation. Pendant cette période, vous pourriez malheureusement être vulnérable à l’exploitation.

Par exemple, un attaquant pourrait élaborer une requête adressée à un point de terminaison malveillant pour récupérer et déployer un logiciel malveillant. Ou bien, un attaquant pourrait créer une requête adressée à un serveur, ce qui amènerait le serveur compromis à exécuter des commandes du pirate qui sont contraires à son fonctionnement normal et compromettent votre organisation.

Même si un attaquant a déjà exploité l’exposition, vous n’êtes pas encore à court d’options. Heureusement, une fois qu’un attaquant exécute un morceau de code distant exploitant Log4Shell, vous pouvez empêcher la propagation de l’exploit au sein de votre réseau en inspectant le trafic sortant du serveur.

Supposons que vous disposiez d’une solution à la périphérie de votre réseau capable de décrypter et d’activer l’inspection des paquets de trafic cryptés. Dans ce cas, vous pourriez détecter des logiciels malveillants ou du trafic malveillant propagés en raison d'une vulnérabilité Log4j et les bloquer avant qu'ils ne causent davantage de dommages. Un exemple serait de contacter un serveur de commande et de contrôle pour lancer davantage d’attaques ou même exfiltrer des données. Étant donné que les serveurs sont généralement connectés à Internet, le trafic de votre serveur traversera votre environnement via TLS. Par conséquent, l’inspection du trafic du serveur chiffré est essentielle pour contenir et arrêter la propagation d’un environnement déjà compromis et vulnérable.

L’utilisation d’un produit comme F5 SSL Orchestrator offre une visibilité sur le trafic chiffré et arrête les menaces chiffrées en aidant à effectuer une analyse sortante déchiffrée. SSL Orchestrator décrypte le trafic traversant votre réseau, même le trafic du serveur, et envoie le trafic à des services d'inspection tiers (tels qu'un NGFW, WAF, SWG, IPS ou DLP), qui peuvent ensuite autoriser, bloquer ou contourner le trafic pour garantir qu'aucun malware crypté ne se propage sur votre réseau en chemin ; et aucun trafic malveillant n'est destiné à C2 (des serveurs de commande et de contrôle) ou des données exfiltrées peuvent sortir de votre environnement. SSL Orchestrator est conçu et spécialement conçu pour améliorer l'infrastructure SSL/TLS, fournir des solutions de sécurité avec visibilité sur le trafic crypté SSL/TLS et optimiser et maximiser vos investissements de sécurité existants pour protéger votre réseau contre les attaques en cascade.

Conclusion

Log4j n’est pas la première vulnérabilité à la fois grave et de grande envergure, et ce ne sera pas la dernière. Il est aussi important de vous protéger contre les exploitations de Log4j dès maintenant (qui sont toujours en cours au moment de la publication), qu’il est tout aussi essentiel de renforcer la sécurité de vos application et de votre réseau pour protéger vos actifs de la prochaine vulnérabilité critique inévitable.

Lorsque la prochaine vulnérabilité critique survient, être préparé signifie suivre ces quatre étapes. Idéalement, avant qu'une vulnérabilité ne soit annoncée, utilisez un WAF afin que vos applications soient protégées des vecteurs d'attaque connus tels que Log4Shell. De plus, et idéalement avant qu'une vulnérabilité ne soit annoncée, disposez d'une solution protégeant votre réseau afin que si vous êtes attaqué pendant le processus de correctif et que des attaquants parviennent à infiltrer votre réseau, vous puissiez empêcher les pirates d'utiliser un exploit pour contrôler vos serveurs ou exfiltrer vos données. Une fois qu’une vulnérabilité est annoncée, l’étape suivante consiste à déterminer votre exposition. ( L'évaluation gratuite des menaces de F5 peut vous aider !) Ensuite, patch, patch, patch ! Avec ces quatre stratégies en place, vous serez préparé à la prochaine vulnérabilité lorsqu’elle se présentera.

F5 peut vous aider à élaborer un plan d’atténuation complet qui empêche les attaquants d’exploiter une vulnérabilité et protège votre environnement contre des dommages ou des compromissions supplémentaires, même après une exploitation réussie.

Si vous avez d'autres questions sur l'atténuation de la vulnérabilité Log4j ou d'autres vulnérabilités similaires, contactez votre équipe commerciale F5 ou contactez-nous à sales@f5.com . Pour rester au courant de la façon dont F5 répond à Log4j, suivez notre blog , qui est mis à jour au fur et à mesure que de nouvelles informations sont disponibles.

Si vous êtes actuellement attaqué et avez besoin d'une assistance urgente, appelez notre centre d'opérations de sécurité (SOC) au (866) 329-4253 ou au +1 (206) 272-7969. Pour les numéros de téléphone internationaux, visitez https://www.f5.com/attack . Les clients BIG-IP existants peuvent contacter l’ équipe de réponse aux incidents de sécurité.