C’est la 7ème (!) modification en quelques jours de l’alerte de CERT-FR – Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, une émanation de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information) – sur la vulnérabilité dans Apache Log4j, démonstration, s’il en fallait, de la gravité de la menace et du risque encouru par la majorité des entreprises et des organisations.
Rappelons que des preuves de concept ont déjà été publiées, et que la vulnérabilité fait désormais l’objet d’une exploitation active.
Après les versions d’Apache Log4j versions 1.x – versions obsolètes mais encore bien présentes – et versions 2.0 à 2.14.1, le CERT-FR a étendu la vulnérabilité sur la version 2.15.0, qui est pourtant la mise à jour Loag4j du 16 décembre !
La version 2.15.0 recommandée jusqu’à présent serait affectée par une autre vulnérabilité, désignée par l’identifiant CVE-2021-45046. Cette vulnérabilité permet à un attaquant non authentifié d’effectuer un déni de service. Par ailleurs, des chercheurs ont mis en évidence la possibilité d’exfiltrer des données dans certaines configurations non détaillées.
CERT-FR signale également que « des techniques permettent d’exploiter la vulnérabilité localement sans recourir à un serveur tiers malveillant. L’attaquant peut injecter un code malveillant dans la requête initiale s’il a suffisamment d’informations sur l’application vulnérable qu’il cible. Cette attaque requiert donc une première phase de reconnaissance et d’exfiltration de données. Cette dernière est possible tant que n’ont pas été appliqués : un filtrage réseau adéquat et le correctif ou, à défaut, les mesures de contournements.«
Concernant les mesures de contournement, justement, CERT-FR signale que les contournements proposés ne permettent plus de se prémunir contre certaines formes d’exploitation. Face à la possibilité que d’autres exploitations soient encore découvertes, y compris pour la version 2.15.0, le CERT-FR recommande désormais d’utiliser la version 2.16.0 pour java 8 ou la version 2.12.2 pour java 7.En cas d’impossibilité de migration, il reste possible de supprimer la classe Java vulnérable.
Enfin, CERT-FR a également mis à jour sa proposition de solution :
Il est fortement recommandé aux utilisateurs d’applications ou de logiciels sur étagère basés sur la technologie Java/J2EE :
- de conserver les journaux a minima depuis le 1er décembre 2021 à des fins d’analyse ultérieure ;
- de préparer sans délai des mesures de préservation en cas d’incident majeur, notamment par la mise hors ligne de sauvegardes à jour ;
- de filtrer et de journaliser les flux sortants des serveurs pour les limiter aux seuls flux autorisés vers des services de confiance ;
- de prendre contact avec le développeur ou l’éditeur pour vérifier s’ils sont exposés à cette vulnérabilité et si un correctif est disponible.
Il est fortement recommandé aux développeurs/éditeurs :
- d’inventorier les solutions affectées par les vulnérabilités ;
- d’informer les utilisateurs et clients de leurs statuts et des actions en cours ;
- de corriger les solutions en utilisant la version 2.16.0 pour java 8 ou la version 2.12.2 pour java 7 ;
- de fournir une nouvelle version de leurs solutions dans les plus brefs délais.
Les podcast Radio DSI, Radio DCmag et les micro-infographies Datacenter Magazine sont de nouveaux modes de contenu proposés sous licence Creative Commons CC BY-ND (Creative Commons Attribution-NoDerivatives 4.0 International Public License), et destinées à alimenter les sites, blogs et documents produits par et pour l’écosystème des datacenters.
