Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Faille Apache Log4j : les applications tierces sous le feu des projecteurs

Comment la faillle Apache Log4j a placé les applications tierces sous le feu des projecteurs

Alors que les organisations du monde entier agissent de manière impulsive pour tenter de gérer la vulnérabilité critique Log4j, connue sous le nom de Log4Shell, la question numéro 1 que se pose chaque responsable de la sécurité est : Comment est-ce que je peux savoir si je suis impacté ?

Mise à jour du 17 décembre : Apache a mis à jour la sévérité de CVE-2021-45046, une deuxième vulnérabilité Log4j, en la faisant passer de faible à critique (9.0 CVSSv3) citing possible RCE under certain configurations. Pour plus d'informations, veuillez consulter cet article dans la Tenable Community.

L'omniprésence d'Apache Log4j, un framework de journalisation open-source, rend cette question particulièrement difficile à répondre.

Non seulement bon nombre d'organisations utilisent Log4j dans leur propre code source, mais il est également présent dans de nombreux produits acquis de sources tierces. Les entreprises ayant adopté le modèle « shift left » sur leur cycle de vie de développement logiciel sécurisé (SSDL) peuvent analyser leur propre code source pour retrouver et corriger la faille dans leur propre système.

Une approche SSDL qui inclut des tests statiques de sécurité des applications (SAST), des tests dynamiques de la sécurité des applications (DAST), des vérifications de dépendances tierces, un scan de sécurité des conteneurs, une gestion des vulnérabilités et une Infrastructure as Code (IaC) est requise. Mais même en mettant en place toutes ces pratiques, les organisations peineront toujours à saisir tout ce qui reste. La gestion des vulnérabilités et le scan des applications web sont également essentiels, surtout en ce qui concerne vos applications tierces. Il ne suffit pas de découvrir si la faille existe ou non, vous devez également appréhender le niveau de risque encouru dans le contexte d'une combinaison d'applications, d'assets et de processus métier au sein de votre organisation.

En dépit du récent décret émanant de l'administration Biden appelant les entreprises à développer des nomenclatures logicielles (SBOM), la plupart des fournisseurs n'en proposent pas pour leurs propres applications. Et même s'ils le faisaient, la plupart des organisations seraient à des années lumières de détenir les process et fonctionnalités adaptées afin d'en faire bon usage. Ainsi, lorsqu'un incident comme log4j se produit, les leaders en cyber-sécurité  n'ont plus qu'une solution : appeler leurs fournisseurs d'applications tierces et le leur demander. Cette méthode est à la fois laborieuse, redondante et chronophage, laissant les organisations se perdre dans l'urgence tandis que les attaquants se ruent pour exploiter la faille.

FAQ : CVE-2021-45046, CVE-2021-4104 :Frequently Asked Questions About Log4Shell and Associated Vulnerabilities.

Même dans les organisations les plus matures, où les pratiques SSDL et les SBOMS sont enracinés dans les processus, les angles morts demeurent, mettant les entreprises au défit de répondre à ces cinq questions :

  1. Est-ce qu'elles sont exécutées dans mon environnement ?
  2. Et dans mon infrastructure ?
  3. Et dans nos pipelines de build ?
  4. Et qu'en est-il des fournisseurs de notre infrastructure ? Ce point est particulièrement pertinent si vous avez recours à des services de fournisseur de services cloud.
  5. Puisque l'analyse de composition des logiciels (SCA) ne pourra pas découvrir toutes les instances de Log4J, avons-nous effectué d'autres contrôles, tels que l'Infrastructure as Code (IaC), la gestion des vulnérabilités et le scan des applications par rapport à tous les composants de notre code ?

En conclusion : Il n'existe pas de solution simple pour venir à bout de Log4j. Une option évidente, la mise en oeuvre d'un pare-feu pour applications web, s'est avérée relativement facile à contourner. Une organisation responsable se doit de faire l'effort de mettre à jour son logiciel principal et de comprendre comment cette faille peut impacter le profil de risque global. Les entreprises qui réagissent maintenant prennent des décisions en mode gestion de crise ; une fois la crise initiale passée, la tentation sera grande de déclarer la « mission accomplie » et de passer son chemin. De notre point de vue, il s'agit là d'une erreur catastrophique. Le temps est révolu où les entreprises devaient corriger elles-mêmes leur infrastructure et maintenir leurs systèmes à l'aide d'une approche security-first intégrée.

Chez Tenable, nous restons attachés à SSDL et prenons les mesures suivantes pour répondre à Log4j :

  • Nous disposons de portes bloquantes et, dans ce cas, nous condamnons l'utilisation de toute instance vulnérable de logiciel, en y incluant Log4j. 
  • Nous procédons activement et constamment à des scans de gestion des vulnérabilités et d'applications web sur toutes nos infrastructures et nous pré-publions du code produit avant de le livrer aux clients.
  • En outre, nous avons actionné tous les indicateurs de compromission et d'attaque, et mis en œuvre des contrôles au niveau du réseau et de l'hôte.

Nous continuerons à surveiller la threat intelligence afin de suivre le paysage des menaces et d'apporter les corrections requises. En définitive, répondre à un incident revient à savoir ce qui constitue votre environnement, à connaître votre surface d'attaque, y compris tous les éléments tiers, et à réduire rapidement le risque. Le temps presse. Les attaquants sont toujours prêts à se lancer sur la moindre vulnérabilité et à la détourner pour leur propre cas d'usage. Les organisations doivent faire tout leur possible pour examiner dès maintenant leurs pratiques au plus près, car les répercussions de cet incident seront dévastatrices sur les logiciels d'entreprise pendant encore plusieurs années.

Pour en savoir plus

Articles connexes

Des actualités décisives sur la cyber-sécurité

Saisissez votre adresse e-mail et ne manquez plus aucune alerte ni aucun conseil en matière de sécurité de la part de nos experts Tenable.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayez Tenable Web App Scanning

Profitez d'un accès complet à notre dernière offre de scan des applications web conçue pour les applications modernes dans la plateforme de gestion de l'exposition Tenable One. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre essai de Tenable Web App Scanning inclut également Tenable Vulnerability Management et Tenable Lumin.

Acheter Tenable Web App Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5  FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable Lumin

Visualisez et explorez votre gestion de la cyber-exposition, suivez la réduction des risques au fil du temps et comparez-la à celle des autres entreprises avec Tenable Lumin.

Votre essai de Tenable Lumin inclut également Tenable Vulnerability Management et Tenable Web App Scanning.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous permettre d'obtenir des informations exploitables sur l'ensemble de votre entreprise et de gérer votre cyber-risque.

Essayer gratuitement Tenable Nessus Professional

GRATUIT PENDANT 7 JOURS

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Tenable Nessus Expert
Maintenant disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Pro.

Acheter Tenable Nessus Professional

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Tenable Nessus Professional vous permet d'automatiser le processus de scan des vulnérabilités, d'écourter les cycles de mise en conformité et de mieux tirer parti de votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Essayer gratuitement Tenable Nessus Expert

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous avez déjà Nessus Professional de Tenable ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation