Log4j nécessite une endurance en matière de cyberdéfense

9 mars 2022
| Pas de commentaires
Bitdefender_Actualités

Partager le post

Log4j est et reste une vulnérabilité dangereuse près de trois mois après sa divulgation. Et même si aucune attaque n'est encore en cours, les responsables de la sécurité informatique doivent supposer que les cybercriminels ont eu accès aux systèmes informatiques. Par Cristian Avram, architecte de solutions senior chez Bitdefender.

Afin de se défendre efficacement contre des attaques imminentes, il sera donc nécessaire dans les mois à venir de localiser et de fermer immédiatement les points faibles et de surveiller son propre trafic informatique et réseau.

Log4j : une charge de longue durée

Les pirates peuvent exécuter du code à distance à l'aide de la bibliothèque de connexion Log4J largement utilisée. La vulnérabilité CVE-9-2021, qui a été annoncée le 2021 décembre 44228, est particulièrement dangereuse en raison de l'utilisation généralisée de la norme de facto Log4J dans une grande variété d'applications Web. De nombreuses entreprises ne savent pas si et où elles ont implémenté Log4j dans leurs systèmes. Dès décembre 2021, Bitdefender Labs a remarqué des actions spécifiques de cybercriminels, par exemple pour installer des cryptomineurs via des botnets ou pour lancer de nouvelles attaques de ransomwares.

Même si la grande vague d'attaques ne s'est apparemment pas encore matérialisée, on peut supposer une situation de risque très dynamique. Parce qu'il est si facile d'installer du code exécutable à distance via Log4j, le danger est imminent. Les attaquants utilisent également Log4J comme passerelle pour accéder au réseau de l'entreprise. On peut supposer que les attaques proprement dites suivront, car les pirates ont d'abord mis un pied dans la porte du réseau de l'entreprise de la manière la plus discrète possible. Bon nombre des attaques en cours de préparation qui débuteront dans un avenir proche pourraient ne plus être détectées à la suite d'une intrusion via Log4j.

Incertitude entre fabricants et entreprises

La bibliothèque Log4j elle-même offre une fonction très utile et simple pour enregistrer et traiter les demandes aux systèmes. C'est pourquoi il est devenu la norme de facto. En tant que framework polyvalent et multiplateforme, il fonctionne sur divers systèmes d'exploitation tels que Windows, Linux, macOS et FreeBSD. Java – et donc Log4J – est utilisé, par exemple, dans les webcams, les systèmes de navigation automobile, les terminaux, les lecteurs DVD, les décodeurs, les appareils médicaux et même dans les parcomètres. Cependant, cela crée un problème : de nombreux administrateurs informatiques ne sauront pas quelles applications connectent leur réseau d'entreprise à Internet via Log4j. Ce n'est pas un hasard si les données de télémétrie de Bitdefender, c'est-à-dire les informations des systèmes Bitdefender installés, montrent que de nombreuses équipes de sécurité s'attaquent elles-mêmes aux vulnérabilités potentielles pour voir si elles sont affectées.

Et vous n'êtes pas seul avec ce manque de vue d'ensemble. Les fournisseurs de logiciels ou les projets open source ne savent pas non plus si leurs produits ou projets contiennent la vulnérabilité. Comme toutes les entreprises, elles doivent se faire une idée de l'état de la sécurité et informent désormais leurs clients – ou continueront de le faire dans un avenir proche.

Cinq conseils pour le "marathon Log4J" des mois à venir

Dans cette situation de risque floue et en constante évolution, les responsables de la sécurité informatique des entreprises et les fournisseurs de sécurité managée doivent être très vigilants dans les mois à venir au service de leurs clients. Les conseils suivants permettront d'identifier les risques et de bloquer les attaques à court et long terme :

  • 1. Corrigez et mettez à jour immédiatement là où la vulnérabilité est déjà connue : les entreprises doivent immédiatement importer tous les correctifs disponibles pour leurs applications conformément aux instructions du fournisseur de logiciels. Ce principe s'applique plus que jamais.
  • 2. Inventaire de l'infrastructure informatique et de la nomenclature des logiciels : les administrateurs doivent auditer l'ensemble de leur infrastructure et de tous les logiciels. Cela vous permet d'identifier tous les systèmes qui ont implémenté un framework de journalisation Apache Lofj2. La mise à jour vers Log4j version 2.17.1 suit ensuite.
  • 3. Vérifiez la chaîne d'approvisionnement des logiciels pour les mises à jour : une fois que les administrateurs informatiques savent quels systèmes sont affectés, ils doivent se tenir informés des projets de logiciels open source respectifs. Les éditeurs de logiciels commerciaux proposent-ils des correctifs ? Quelles mesures recommandez-vous pour combler l'écart ?
  • 4. N'oubliez pas les systèmes sans accès direct à Internet : bien sûr, les applications et les systèmes qui sont directement connectés à Internet ont la priorité absolue dans l'inventaire de sécurité. Mais de nombreux pirates n'utilisent cette porte d'entrée que comme point de départ pour des mouvements latéraux pour attaquer d'autres systèmes. Par conséquent, les responsables informatiques doivent être tout aussi vigilants dans la surveillance et la protection des systèmes sans connexion directe à Internet.
  • 5. Il est temps de se défendre en profondeur : Exploiter Log4j est la première étape – lancer une attaque est la suivante. Cela peut donner aux administrateurs informatiques le temps de se préparer et d'empêcher qu'une vulnérabilité ne devienne un véritable incident de sécurité. Les données de télémétrie montrent quels modules de cybersécurité empêchent les attaquants d'exploiter la vulnérabilité. Cela commence par la protection au niveau du réseau : Threat Intelligence fournit des informations sur la réputation des URL ou des adresses IP. Mais le logiciel malveillant statique fait également sa part et a installé des cryptomineurs ou des charges utiles malveillantes connues. Cela offre non seulement une protection contre ces attaques. Les administrateurs et les fournisseurs de sécurité gérés doivent également supposer que ces attaques continueront à se propager. La détection et la réponse étendues (XDR) détectent les mouvements latéraux d'un système à l'autre. Les techniques avancées de détection des menaces identifient les comportements suspects dans les processus. Des experts externes d'un service de détection et de réponse gérées (MDR) aident à identifier les risques et les attaques.

Se défendre contre les attaques via Log4j sera une tâche de longue haleine. Les administrateurs doivent surveiller très attentivement l'accès à leur réseau et ce qui se passe sur le réseau au cours des prochains mois. Chaque anomalie doit être vérifiée. En particulier, les administrateurs informatiques et les fournisseurs de services gérés doivent prendre au sérieux tout signe de shell TCP inversé.

Plus sur Bitdefender.com

 

À propos de Bitdefender

Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de

 

Articles liés au sujet

Rapport : 40 % de phishing en plus dans le monde

Le rapport actuel de Kaspersky sur le spam et le phishing pour 2023 parle de lui-même : les utilisateurs allemands sont à la recherche ➡ En savoir plus

BSI définit des normes minimales pour les navigateurs Web

Le BSI a révisé la norme minimale pour les navigateurs Web pour l'administration et a publié la version 3.0. Vous pouvez vous en souvenir ➡ En savoir plus

Un malware furtif cible les entreprises européennes

Les pirates informatiques attaquent de nombreuses entreprises à travers l'Europe avec des logiciels malveillants furtifs. Les chercheurs d'ESET ont signalé une augmentation spectaculaire des attaques dites AceCryptor via ➡ En savoir plus

Sécurité informatique : la base de LockBit 4.0 désamorcée

Trend Micro, en collaboration avec la National Crime Agency (NCA) du Royaume-Uni, a analysé la version non publiée en cours de développement. ➡ En savoir plus

MDR et XDR via Google Workspace

Que ce soit dans un café, un terminal d'aéroport ou un bureau à domicile, les employés travaillent dans de nombreux endroits. Cependant, cette évolution pose également des défis ➡ En savoir plus

Test : Logiciel de sécurité pour les terminaux et les PC individuels

Les derniers résultats des tests du laboratoire AV-TEST montrent de très bonnes performances de 16 solutions de protection établies pour Windows ➡ En savoir plus

FBI : Internet Crime Report chiffre 12,5 milliards de dollars de dégâts 

L'Internet Crime Complaint Center (IC3) du FBI a publié son rapport 2023 sur la criminalité sur Internet, qui comprend des informations provenant de plus de 880.000 XNUMX personnes. ➡ En savoir plus

HeadCrab 2.0 découvert

La campagne HeadCrab contre les serveurs Redis, active depuis 2021, continue d'infecter avec succès les cibles avec la nouvelle version. Le mini-blog des criminels ➡ En savoir plus

Bitdefender, Nouvelles courtes