Faille Apache Log4j : les applications tierces sous le feu des projecteurs

Alors que les organisations du monde entier agissent de manière impulsive pour tenter de gérer la vulnérabilité critique Log4j, connue sous le nom de Log4Shell, la question numéro 1 que se pose chaque responsable de la sécurité est : Comment est-ce que je peux savoir si je suis impacté ?

L'omniprésence d'Apache Log4j, un framework de journalisation open-source, rend cette question particulièrement difficile à répondre.

Non seulement bon nombre d'organisations utilisent Log4j dans leur propre code source, mais il est également présent dans de nombreux produits acquis de sources tierces. Les entreprises ayant adopté le modèle « shift left » sur leur cycle de vie de développement logiciel sécurisé (SSDL) peuvent analyser leur propre code source pour retrouver et corriger la faille dans leur propre système.

Une approche SSDL qui inclut des tests statiques de sécurité des applications (SAST), des tests dynamiques de la sécurité des applications (DAST), des vérifications de dépendances tierces, un scan de sécurité des conteneurs, une gestion des vulnérabilités et une Infrastructure as Code (IaC) est requise. Mais même en mettant en place toutes ces pratiques, les organisations peineront toujours à saisir tout ce qui reste. La gestion des vulnérabilités et le scan des applications web sont également essentiels, surtout en ce qui concerne vos applications tierces. Il ne suffit pas de découvrir si la faille existe ou non, vous devez également appréhender le niveau de risque encouru dans le contexte d'une combinaison d'applications, d'assets et de processus métier au sein de votre organisation.

En dépit du récent décret émanant de l'administration Biden appelant les entreprises à développer des nomenclatures logicielles (SBOM), la plupart des fournisseurs n'en proposent pas pour leurs propres applications. Et même s'ils le faisaient, la plupart des organisations seraient à des années lumières de détenir les process et fonctionnalités adaptées afin d'en faire bon usage. Ainsi, lorsqu'un incident comme log4j se produit, les leaders en cyber-sécurité  n'ont plus qu'une solution : appeler leurs fournisseurs d'applications tierces et le leur demander. Cette méthode est à la fois laborieuse, redondante et chronophage, laissant les organisations se perdre dans l'urgence tandis que les attaquants se ruent pour exploiter la faille.

FAQ : CVE-2021-45046, CVE-2021-4104 :Frequently Asked Questions About Log4Shell and Associated Vulnerabilities.

Même dans les organisations les plus matures, où les pratiques SSDL et les SBOMS sont enracinés dans les processus, les angles morts demeurent, mettant les entreprises au défit de répondre à ces cinq questions :

1. Est-ce qu'elles sont exécutées dans mon environnement ?
2. Et dans mon infrastructure ?
3. Et dans nos pipelines de build ?
4. Et qu'en est-il des fournisseurs de notre infrastructure ? Ce point est particulièrement pertinent si vous avez recours à des services de fournisseur de services cloud.
5. Puisque l'analyse de composition des logiciels (SCA) ne pourra pas découvrir toutes les instances de Log4J, avons-nous effectué d'autres contrôles, tels que l'Infrastructure as Code (IaC), la gestion des vulnérabilités et le scan des applications par rapport à tous les composants de notre code ?

En conclusion : Il n'existe pas de solution simple pour venir à bout de Log4j. Une option évidente, la mise en oeuvre d'un pare-feu pour applications web, s'est avérée relativement facile à contourner. Une organisation responsable se doit de faire l'effort de mettre à jour son logiciel principal et de comprendre comment cette faille peut impacter le profil de risque global. Les entreprises qui réagissent maintenant prennent des décisions en mode gestion de crise ; une fois la crise initiale passée, la tentation sera grande de déclarer la « mission accomplie » et de passer son chemin. De notre point de vue, il s'agit là d'une erreur catastrophique. Le temps est révolu où les entreprises devaient corriger elles-mêmes leur infrastructure et maintenir leurs systèmes à l'aide d'une approche security-first intégrée.

Chez Tenable, nous restons attachés à SSDL et prenons les mesures suivantes pour répondre à Log4j :

• Nous disposons de portes bloquantes et, dans ce cas, nous condamnons l'utilisation de toute instance vulnérable de logiciel, en y incluant Log4j. 
• Nous procédons activement et constamment à des scans de gestion des vulnérabilités et d'applications web sur toutes nos infrastructures et nous pré-publions du code produit avant de le livrer aux clients.
• En outre, nous avons actionné tous les indicateurs de compromission et d'attaque, et mis en œuvre des contrôles au niveau du réseau et de l'hôte.

Nous continuerons à surveiller la threat intelligence afin de suivre le paysage des menaces et d'apporter les corrections requises. En définitive, répondre à un incident revient à savoir ce qui constitue votre environnement, à connaître votre surface d'attaque, y compris tous les éléments tiers, et à réduire rapidement le risque. Le temps presse. Les attaquants sont toujours prêts à se lancer sur la moindre vulnérabilité et à la détourner pour leur propre cas d'usage. Les organisations doivent faire tout leur possible pour examiner dès maintenant leurs pratiques au plus près, car les répercussions de cet incident seront dévastatrices sur les logiciels d'entreprise pendant encore plusieurs années.

Pour en savoir plus

• /blog/brazen-unsophisticated-and-illogical-understanding-the-lapsus-extortion-group Visitez le centre de solutions Tenable Log4j : https://fr.tenable.com/log4j
• Lisez l’alerte SRT : CVE-2021-44228 : Démonstration de faisabilité (PoF) pour la vulnérabilité d'exécution de code à distance (RCE) Apache Log4j (Log4Shell)
• Lire la FAQ :CVE-2021-44228, CVE-2021-45046, CVE-2021-4104 : Frequently Asked Questions About Log4Shell and Associated Vulnerabilities
• Lisez le point de vue du CTO : Faille Apache Log4j : Un moment digne de Fukushima pour l'industrie de la cyber sécurité
• Visitez notre communauté d’utilisateurs pour découvrir comment Tenable peut vous aider : https://community.tenable.com/s/