Arctic Wolf, une société leader dans les opérations de sécurité, a rendu le script de détection Log4Shell Deep Scan pour détecter CVE-2021-45046 et CVE-2021-44228 dans les fichiers JAR, les fichiers WAR et les fichiers EAR accessibles au public sur Github Disposal. Le script a déjà été utilisé avec succès par plus de 2.300 XNUMX clients d'Arctic Wolf dans le monde.
Le script, disponible pour les appareils Windows, macOS et Linux, effectue une analyse approfondie des systèmes de fichiers des hôtes pour identifier les applications et les bibliothèques Java avec du code Log4j vulnérable. Si le code Log4j affecté est détecté, le script le marque et affiche l'emplacement de stockage dans le système de fichiers. Les entreprises peuvent ainsi identifier les applications et systèmes affectés par la vulnérabilité Log4J.
Téléchargez "Log4Shell Deep Scan" sur Github ici
Pour plus d'informations, consultez le fichier readme.txt associé sur GitHub. Arctic Wolf continue d'inviter la communauté de la sécurité à développer davantage "Log4Shell Deep Scan" pour leurs propres cas d'utilisation. Aucune information n'est collectée par Arctic Wolf ou envoyée à Arctic Wolf.
Pourquoi utiliser Log4Shell Deep Scan ?
Identifier toutes les instances vulnérables de Log4j au sein d'une organisation est actuellement un défi majeur pour les équipes informatiques et de sécurité. La mise à niveau de la criticité de la dernière CVE-2021-45046 nécessite une nouvelle analyse et un correctif des systèmes et des actifs.
Log4Shell Deep Scan doit être utilisé pour compléter et non remplacer les solutions existantes d'analyse des vulnérabilités basées sur le réseau. Arctic Wolf recommande aux entreprises d'exécuter d'abord l'outil sur leurs systèmes informatiques les plus critiques et accessibles au public, puis d'analyser tous les autres systèmes, y compris les systèmes situés derrière un périmètre de sécurité.
En montrant quelles applications sont affectées et où se trouve chaque vulnérabilité, l'outil permet aux équipes informatiques et de sécurité de hiérarchiser et de cibler rapidement ces vulnérabilités.
Les vulnérabilités Log4j / Log4Shell sont exploitées à long terme
Arctic Wolf a observé un grand nombre d'activités d'analyse liées aux vulnérabilités et aux attaques Log4j/Log4Shell dans lesquelles des acteurs malveillants tentent de faire proliférer des logiciels malveillants de crypto-minage. Les acteurs de la menace ransomware ont également commencé à utiliser activement Log4Shell comme vecteur d'entrée pour leurs attaques.
Arctic Wolf suit plusieurs groupes d'attaquants connus, notamment ceux de Chine, d'Iran, de Corée du Nord et de Turquie, qui exploitent la vulnérabilité Log4J. Ces acteurs et d'autres acteurs de la menace sont actifs depuis la semaine dernière, après avoir pris conscience d'une vulnérabilité de type zero-day. Dès que l'attention du public dans les entreprises diminue, on peut s'attendre à ce que d'autres étapes et activités d'attaque soient menées après la compromission initiale, de sorte qu'une attention constante et une surveillance détaillée de la sécurité seront nécessaires, en particulier dans un proche avenir.
Quelle est la prochaine étape pour Log4Shell ?
Log4Shell tient le monde informatique en haleine depuis une semaine et demie. La situation est en constante évolution et il faut s'attendre à ce que cette vulnérabilité et les effets associés préoccupent encore longtemps les entreprises. Les équipes de sécurité et de R&D d'Arctic Wolf ont donc développé des outils de détection supplémentaires basés sur les nouvelles méthodes (ex. TTP) susceptibles d'être utilisées par les attaquants. Cela inclut également la détection des variations des méthodes d'attaque Log4J et la reconnaissance, la maîtrise et l'éradication immédiates des exploits réussis.
On peut supposer que des acteurs sophistiqués de la menace utilisent le balayage Log4J répandu et les attaques de marchandises pour «voler sous le radar» avec leurs activités afin de compromettre des cibles de haut niveau. En outre, on peut s'attendre à ce que dans un avenir proche, il y ait beaucoup plus de cas de ransomwares qui monétisent les attaques Log4j réussies. Pour plus d'informations sur l'impact de Log4Shell, consultez le webinaire à la demande d'Arctic Wolf.
Plus sur ArcticWolf.com
À propos du loup arctique
Arctic Wolf® est un leader mondial des opérations de sécurité et fournit la première plate-forme d'opérations de sécurité native du cloud pour se défendre contre les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf® est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.