Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

CVE-2021-44228 : Démonstration de faisabilité (PoF) pour la vulnérabilité d'exécution de code à distance (RCE) Apache Log4j (Log4Shell)

Une vulnérabilité critique dans la célèbre bibliothèque de journalisation Log4j 2, frappe de nombreux servies et applications, dont Minecraft, Steam et Apple iCloud. Les attaquants se sont mis à scanner activement et à tenter d'exploiter la faille.

Mise à jour du 21 décembre : Le 17 décembre, un article de blog de notre FAQ a été publié avec des informations sur Log4Shell et d'autres vulnérabilités associées. Pour des informations à jour, veuillez consulter notre article de blog : CVE-2021-44228, CVE-2021-45046, CVE-2021-4104 : Frequently Asked Questions About Log4Shell and Associated Vulnerabilities

Contexte

Le 9 décembre, les chercheurs ont publié un code d'exploit de démonstration de faisabilité (PoC) pour une vulnérabilité dans Apache Log4j 2, une bibliothèque de journalisation Java utilisée par de nombreux services et applications, incluant, mais sans s'y limiter :

Appelée Log4Shell par les chercheurs, des sources affirment que cette vulnérabilité aurait commencé par infecter Minecraft, le célèbre jeu vidéo sandbox.

En outre, il semble que certains services cloud, tels que Steam et Apple iCloud soient également affectés.

Cette vulnérabilité est considérée comme une menace telle que le directeur de Cloudflare a l'intention d'offrir des protections à tous ses clients.

Analyse

CVE-2021-44228 est une vulnérabilité d'exécution de code à distance (RCE) dans Apache Log4j 2. Un attaquant à distance non authentifié peut exploiter cette faille en envoyant une requête spéciale vers un serveur exécutant une version vulnérable de log4j. La requête utilise une injection JNDI (Java Naming and Directory Interface) via toute une variété de services, dont :

  • Lightweight Directory Access Protocol (LDAP)
  • Secure LDAP (LDAPS)
  • Remote Method Invocation (RMI)
  • Domain Name Service (DNS)

Si le serveur de vulnérabilité utilise log4j pour consigner des requêtes, l'exploit demandera une charge malveillante sur JNDI via l'un des services au-dessus à partir d'un serveur contrôlé par un attaquant. Une exploitation réussie pourrait mener à une RCE.

Dans le cas de Minecraft, les utilisateurs ont pu exploiter cette vulnérabilité en envoyant un message spécial via le chat de Minecraft.

GreyNoise et Bad Packets ont détecté une activité de scan de masse à la recherche de serveurs utilisant Log4j.

Il semble maintenant établi que cette vulnérabilité est utilisée pour implanter des mineurs de crypto-monnaie.

Démonstration de faisabilité (PoC)

La première PoC pour CVE-2021-44228 a été publiée le 9 décembre avant que ne soit assigné son identifiant CVE. Au moment de la publication de ce blog, plusieurs autres PoCs available on GitHub.

Solution

Apache a bien publié une version finale (RC) le 6 décembre pour gérer cette vulnérabilité, mais elle était incomplète. Apache a publié la version 2.15.0 le 10 décembre.

Log4j 2.15.0 requiert Java 8. Ainsi, les organisations qui utilisent Java 7 devront effectuer une mise à niveau avant de pouvoir accéder à la version corrigée de Log4j.

Apache conseille, dans le cas où la correction ne soit pas immédiatement possible, de recourir à certains parcours de limitation pour contrecarrer les tentatives d'exploitation de cette vulnérabilité :Étant donné que les informations provenant d'Apache sont continuellement mises à jour, nous vous recommandons de vous référer à leurs instructions ici.

Étant donné que Log4j est inclus dans un grand nombre d'applications web et utilisé par toute une variété de services web, nous ne pouvons pas évaluer la portée complète de cette vulnérabilité pour le moment. Cependant, au moment de la publication de cet article de blog, il a été confirmé que certains produits et services ont confirmé avoir été vulnérables, dont :

Produit/Service Affectation confirmée
Minecraft Oui
Steam Oui
Apple iCloud Oui
Tencent Oui
Twitter Oui
Baidu Oui
Didi Oui
Cloudflare Oui
Amazon Oui
Tesla Oui
ElasticSearch Oui
Ghidra Oui

Un référentiel GitHub est tenu à jour qui met en lumière la surface d'attaque de cette vulnérabilité.

Identification des systèmes affectés

Une liste de plug-ins Tenable permettant d'identifier cette vulnérabilité apparaîtra ici au fur et à mesure de leur publication. En outre, nous aimerions souligner la pertinence des plug-ins suivants (disponibles dans l'ensemble de plug-ins 202112112213 et ultérieur) :

Vérifications à distance

  • ID de plug-in : 156014 - Détection RCE Apache Log4Shell via corrélation de callback (Direct Check HTTP) - cette vérification à distance peut être utilisée pour identifier la vulnérabilité sans authentification. Ce plug-in est compatible avec les scanners cloud de Tenable
  • ID de plug-in : 155998 - RCE de substitution de recherche de message Apache Log4j (Log4Shell) (Direct Check) - Ce plug-in écoute les connexions LDAP BIND d'un hôte cible. Il n'est pas compatible avec les scanners cloud Tenable.io et pourrait donc échouer à renvoyer des résultats dans certains réseaux à cause de règles de pare-feu ou d'interférences provenant d'autres appareils de sécurité. Nous continuons à explorer des options pour une détection supplémentaire et recommandons aux clients du scanner cloud Tenable.io d'utiliser les quatre plug-ins suivants.

Pour une présentation des rappels dans les ID de plug-in 156014 et 155998, veuillez visiter cet article de blog sur la communauté Tenable.

Vérifications de version et détection locale (authentification requise)

  • ID de plug-in : 155999 - Apache Log4j < 2.15.0 RCE
  • ID de plug-in : 156000 - Apache Log4j Installé (Unix)
  • ID de plug-in : 156001 - Apache Log4j - détection JAR (Windows)
  • ID de plug-in : 156002 - Apache Log4j < 2.15.0 RCE

De plus, un plug-in complet Tenable.io Web App Scanning (WAS) a été publié et peut être utilisé pour tester des champs d'entrée pouvant être employés pour exploiter Log4Shell.

  • ID de plug-in : 113075 - Apache Log4j RCE (Log4Shell)

Pour des informations d'assistance sur chacun des plug-ins ci-dessus, veuillez visiter cet article de blog sur notre communauté Tenable

Tenable a publié des modèles de scan pour Tenable.io, Tenable.sc et Nessus Professional, pré-configurés pour permettre un scan rapide de cette vulnérabilité. Les clients Tenable.io disposent également de nouveaux dashboard et widgets dans la bibliothèque de widgets. Les utilisateurs Tenable.sc ont également accès à un nouveau dashboard Log4Shell. Pour vous assurer que votre scanner est équipé des derniers plug-ins, Tenable recommande de mettre à jour manuellement votre ensemble de plug-ins. Les utilisateurs Nessus, dont ceux des scanners Tenable.io Nessus scanners, peuvent bénéficier de la commande CLI suivante :

nessuscli fix --secure --delete feed_auto_last

Pour plus d'informations sur l'utilisation de nessuscli, veuillez vous référer à cet article.

Les utilisateurs de Tenable.sc peuvent manuellement mettre à jour des plug-ins à l'aide des liens [Update] dans l'interface de configuration des plug-ins/feed, comme illustré sur la capture d'écran suivante

Les organisations qui ne disposent pas actuellement de produits Tenable peuvent s'inscrire pour un essai gratuit de Nessus Professional pour effectuer des scans à la recherche de cette vulnérabilité.

Où trouver plus d'informations

Rejoignez l'équipe SRT de Tenable sur Tenable Community.

Apprenez-en plus sur Tenable, la première plateforme de Cyber Exposure qui vous permet de gérer votre surface d'attaque moderne de manière globale.

Profitez d'un essai gratuit de 30 jours de Tenable.io Vulnerability Management.

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

tenable.io

GRATUIT PENDANT 30 JOURS


Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Tenable.io ESSAI GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Essayer Tenable.cs

GRATUIT PENDANT 30 JOURS Bénéficiez d'un accès complet pour détecter et corriger les erreurs de configuration d'infrastructure cloud dans les phases de conception, build et exécution du cycle de vie du développement logiciel.

Acheter Tenable.cs

Contactez un commercial pour en savoir plus sur la sécurité dans le cloud et découvrir comment sécuriser chaque étape du code au cloud.

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, NessusExpert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Achetez Nessus Expert

Conçu pour la surface d'attaque moderne, NessusExpert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance