Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Faille Apache Log4j : les applications tierces sous le feu des projecteurs

Comment la faillle Apache Log4j a placé les applications tierces sous le feu des projecteurs

Alors que les organisations du monde entier agissent de manière impulsive pour tenter de gérer la vulnérabilité critique Log4j, connue sous le nom de Log4Shell, la question numéro 1 que se pose chaque responsable de la sécurité est : Comment est-ce que je peux savoir si je suis impacté ?

Mise à jour du 17 décembre : Apache a mis à jour la sévérité de CVE-2021-45046, une deuxième vulnérabilité Log4j, en la faisant passer de faible à critique (9.0 CVSSv3) citing possible RCE under certain configurations. Pour plus d'informations, veuillez consulter cet article dans la Tenable Community.

L'omniprésence d'Apache Log4j, un framework de journalisation open-source, rend cette question particulièrement difficile à répondre.

Non seulement bon nombre d'organisations utilisent Log4j dans leur propre code source, mais il est également présent dans de nombreux produits acquis de sources tierces. Les entreprises ayant adopté le modèle « shift left » sur leur cycle de vie de développement logiciel sécurisé (SSDL) peuvent analyser leur propre code source pour retrouver et corriger la faille dans leur propre système.

Une approche SSDL qui inclut des tests statiques de sécurité des applications (SAST), des tests dynamiques de la sécurité des applications (DAST), des vérifications de dépendances tierces, un scan de sécurité des conteneurs, une gestion des vulnérabilités et une Infrastructure as Code (IaC) est requise. Mais même en mettant en place toutes ces pratiques, les organisations peineront toujours à saisir tout ce qui reste. La gestion des vulnérabilités et le scan des applications web sont également essentiels, surtout en ce qui concerne vos applications tierces. Il ne suffit pas de découvrir si la faille existe ou non, vous devez également appréhender le niveau de risque encouru dans le contexte d'une combinaison d'applications, d'assets et de processus métier au sein de votre organisation.

En dépit du récent décret émanant de l'administration Biden appelant les entreprises à développer des nomenclatures logicielles (SBOM), la plupart des fournisseurs n'en proposent pas pour leurs propres applications. Et même s'ils le faisaient, la plupart des organisations seraient à des années lumières de détenir les process et fonctionnalités adaptées afin d'en faire bon usage. Ainsi, lorsqu'un incident comme log4j se produit, les leaders en cyber-sécurité  n'ont plus qu'une solution : appeler leurs fournisseurs d'applications tierces et le leur demander. Cette méthode est à la fois laborieuse, redondante et chronophage, laissant les organisations se perdre dans l'urgence tandis que les attaquants se ruent pour exploiter la faille.

FAQ : CVE-2021-45046, CVE-2021-4104 :Frequently Asked Questions About Log4Shell and Associated Vulnerabilities.

Même dans les organisations les plus matures, où les pratiques SSDL et les SBOMS sont enracinés dans les processus, les angles morts demeurent, mettant les entreprises au défit de répondre à ces cinq questions :

  1. Est-ce qu'elles sont exécutées dans mon environnement ?
  2. Et dans mon infrastructure ?
  3. Et dans nos pipelines de build ?
  4. Et qu'en est-il des fournisseurs de notre infrastructure ? Ce point est particulièrement pertinent si vous avez recours à des services de fournisseur de services cloud.
  5. Puisque l'analyse de composition des logiciels (SCA) ne pourra pas découvrir toutes les instances de Log4J, avons-nous effectué d'autres contrôles, tels que l'Infrastructure as Code (IaC), la gestion des vulnérabilités et le scan des applications par rapport à tous les composants de notre code ?

En conclusion : Il n'existe pas de solution simple pour venir à bout de Log4j. Une option évidente, la mise en oeuvre d'un pare-feu pour applications web, s'est avérée relativement facile à contourner. Une organisation responsable se doit de faire l'effort de mettre à jour son logiciel principal et de comprendre comment cette faille peut impacter le profil de risque global. Les entreprises qui réagissent maintenant prennent des décisions en mode gestion de crise ; une fois la crise initiale passée, la tentation sera grande de déclarer la « mission accomplie » et de passer son chemin. De notre point de vue, il s'agit là d'une erreur catastrophique. Le temps est révolu où les entreprises devaient corriger elles-mêmes leur infrastructure et maintenir leurs systèmes à l'aide d'une approche security-first intégrée.

Chez Tenable, nous restons attachés à SSDL et prenons les mesures suivantes pour répondre à Log4j :

  • Nous disposons de portes bloquantes et, dans ce cas, nous condamnons l'utilisation de toute instance vulnérable de logiciel, en y incluant Log4j. 
  • Nous procédons activement et constamment à des scans de gestion des vulnérabilités et d'applications web sur toutes nos infrastructures et nous pré-publions du code produit avant de le livrer aux clients.
  • En outre, nous avons actionné tous les indicateurs de compromission et d'attaque, et mis en œuvre des contrôles au niveau du réseau et de l'hôte.

Nous continuerons à surveiller la threat intelligence afin de suivre le paysage des menaces et d'apporter les corrections requises. En définitive, répondre à un incident revient à savoir ce qui constitue votre environnement, à connaître votre surface d'attaque, y compris tous les éléments tiers, et à réduire rapidement le risque. Le temps presse. Les attaquants sont toujours prêts à se lancer sur la moindre vulnérabilité et à la détourner pour leur propre cas d'usage. Les organisations doivent faire tout leur possible pour examiner dès maintenant leurs pratiques au plus près, car les répercussions de cet incident seront dévastatrices sur les logiciels d'entreprise pendant encore plusieurs années.

Pour en savoir plus

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre version d'essai Tenable.io Vulnerability Management inclut également Tenable Lumin, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre version d'essai Tenable.io Vulnerability Management inclut également Tenable Lumin, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable.io Web Application Scanning

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre version d'essai Tenable Web Application Scanning inclut également Tenable.io Vulnerability Management, Tenable Lumin et Tenable.cs Cloud Security.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer Tenable Lumin

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Votre version d'essai Tenable Lumin inclut également Tenable.io Vulnerability Management, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Essayer Tenable.cs

Bénéficiez d'un accès complet aux fonctionnalités permettant de détecter et de corriger les mauvaises configurations de l’infrastructure cloud et de visualiser les vulnérabilités en runtime. Inscrivez-vous dès maintenant pour commencer votre évaluation gratuite.

Votre version d'essai Tenable.cs Cloud Security inclut également Tenable.io Vulnerability Management, Tenable Lumin et Tenable.io Web Application Scanning.

Contactez un commercial pour acheter Tenable.cs

Contactez un commercial pour en savoir plus sur Tenable.cs Cloud Security. Vous découvrirez avec quelle facilité et rapidité vous pourrez intégrer vos comptes cloud et obtenir une visibilité accrue sur vos mauvaises configurations et vos vulnérabilités dans le cloud en quelques minutes.

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Achetez Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Tarification promotionnelle prolongée jusqu'au 31 décembre.
Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation