Depuis le jeudi 9 décembre, les entreprises sont confrontées à des tentatives d’exploitation de vulnérabilités liées à un composant Apache Log4j. Ce composant Java est présent dans un grand nombre de logiciels/progiciels, d’applications et de services au niveau mondial. L’exploitation des vulnérabilités liées à Log4j peut avoir des impacts importants pour les entreprises, avec des attaques cyber allant du déni de service à la prise de contrôle à distance des composants ciblés.
Les nombreux sous-traitants informatiques des entreprises étant bien évidemment touchés, une grande part de cette gestion de crise consiste à s’assurer que ces fournisseurs ont bien pris en compte cette vulnérabilité. Ceci ne fait qu’augmenter la part d’incertitude qui pèse aujourd’hui sur les entreprises par rapport à l’ampleur des conséquences de cette faille.
Les vulnérabilités Log4j sont activement exploitées, avec des conséquences multiples
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance. Plusieurs catégories d’attaques ont été constatées et la situation évolue régulièrement. Parmi les attaques avérées chez les membres du CESIN :
- injection de cryptomineurs sur les serveurs concernés par la vulnérabilité Log4Shell (Monero par exemple)
- exploitation par des malwares (StealthLoader par exemple) ou pour déposer des ransomwares (Khonsari par exemple)
- Déni de service
- exploitation par de multiples menaces persistantes avancées (APT)
La complexité des opérations de défense a été accrue par l’apparition de deux nouvelles vulnérabilités au cours de la semaine écoulée. Ces dernières détectées grâce à une veille permanente effectuée par les Responsables Sécurité des Systèmes d’Information (RSSI) et les équipes DevSecOps, ont nécessité d’adapter la posture sécurité.
Afin d’analyser la situation et prioriser les actions à mener, le CESIN a réuni une centaine de membres experts, RSSI d’entreprises de toutes tailles et de tous secteurs d’activités. A l’issue de ce groupe de travail un kit dit Log4j a été établi par le CESIN afin d’aider tout type d’organisation, entreprises et collectivités, à faire face au contexte lié à ces vulnérabilités.
Télécharger le KIT Log4j du Lab Vulnérabilités & Incidents du CESIN
Le kit Log4j comporte une liste de sites de référence afin de suivre l’évolution des fournisseurs impactés et potentiellement vulnérables.
Alain Bouillé, Délégué Général du CESIN précise : « Lors du congrès du CESIN organisé à Reims début décembre 2021, le thème choisi avait trait à la sécurité applicative. C’est un sujet qui nous préoccupe fortement, et nous avions fait le constat qu’il reste encore un énorme travail afin de renforcer la prise en compte de la sécurité dans les développements, et notamment dans l’intégration de librairies open source. »