6 choses que les RSSI doivent faire pour atténuer les risques de Log4j

  • FrançaisFrançais



  • Log4j a été identifié par le fournisseur de sécurité Tenable comme la « vulnérabilité la plus importante et la plus critique de la dernière décennie ». MITRE a évalué la vulnérabilité comme critique et lui a attribué un score CVSS de 10/10. Les nouvelles concernant la vulnérabilité zero-day Log4j () (CVE-2021-44228, CVE-2021-45046) sont en vogue depuis début décembre. Cette vulnérabilité d’exécution de code à distance (RCE) permet aux attaquants d’exécuter du code arbitraire et de prendre le contrôle total des appareils vulnérables. Voici six choses que les DSI et RSSI résilients peuvent faire pour atténuer les risques de Log4j.

    1. Faites un audit et une évaluation complets

    La vulnérabilité Log4j est répandue et affecte les applications d’entreprise basées sur Java telles que Cisco WebEx et les applications personnalisées développées en interne. Il est impératif que les RSSI et les responsables de la sécurité procèdent à une évaluation complète de leurs actifs pour évaluer l’impact de cet exploit et identifier les systèmes affectés. Cet audit doit s’étendre aux utilisateurs domestiques et aux terminaux (y compris les routeurs domestiques) utilisés sur le réseau de l’entreprise. N’oubliez pas d’auditer également les applications tierces des fournisseurs et les services basés sur le cloud. Une attention particulière et une priorité doivent être accordées aux systèmes qui stockent des informations sensibles telles que les données des clients, les données transactionnelles et opérationnelles et la propriété intellectuelle.

    1. Comprendre votre exposition au risque

    De quelles manières vos systèmes ont-ils été compromis ? Qu’ont fait les pirates ? Ils ont changé les mots de passe ? Ont-ils laissé tomber une charge utile de malware ? Ont-ils modifié les paramètres de configuration ? Ont-ils introduit une autre porte dérobée ? Vous devez vérifier l’ensemble de votre réseau et examiner toutes les copies de Log4j. Après avoir terminé cet audit, appliquez des mesures correctives (correctifs, stratégies d’atténuation) pour minimiser les risques liés aux menaces associées telles que les botnets, les chevaux de Troie et les ransomwares. Des botnets comme Mirai et Muhstik et la variante de ransomware Khonsari ont déjà exploité cette vulnérabilité.

    En savoir plus sur l’exposition aux risques dans un article de Gartner.

    1. Patcher immédiatement

    Appliquer le correctif Apache Log4j 2.15.0 immédiatement. CISA avise les organisations concernées qui ont déjà fait une demande Log4j 2.15.0 passer à Log4j 2.16.0 pour les protéger à la fois contre CVE-2021-44228 et CVE-2021-45046.

    1. Si vous ne pouvez pas corriger, appliquez des stratégies d’atténuation

    Il faut un certain temps pour mettre à jour les bibliothèques Java et corriger chaque système. Si vous ne pouvez pas le faire immédiatement, certaines stratégies d’atténuation peuvent être appliquées.

    Un chercheur de Sophos a démontré certaines de ces stratégies d’atténuation.

    La plupart des applications ont un script qui démarre un programme Java. Vous pouvez adapter vos applications Java pour supprimer l’exécution de code à distance et l’exfiltration de données. Formatez votre message pour désactiver les recherches (format message =true).

    Une autre stratégie d’atténuation recommandée par Sophos consiste à empêcher Java Naming and Directory Interface (JNDI) d’envoyer des requêtes à des serveurs non approuvés. Si vous utilisez Log4j 2.10.0 ou une version ultérieure, vous pouvez définir certaines valeurs de configuration qui empêchent LDAP et les requêtes similaires de sortir.

    Restreindre la connectivité de sortie (sortante). Chaque sous-réseau, serveur et charge de travail doit être autorisé à se connecter uniquement aux points de terminaison requis par l’entreprise. Toutes les autres destinations doivent être bloquées. Configurez également les listes de contrôle d’accès.

    En savoir plus sur la façon d’atténuer les risques de Log4j sur le blog Sophos ici.

    1. Créer un plan de réponse aux incidents

    Décrivez les mesures que votre organisation prendra pour faire face à cette vulnérabilité. Mettez à jour vos politiques de sécurité et communiquez votre plan aux employés à tous les niveaux de l’organisation. Les dirigeants et les membres du conseil d’administration doivent être informés de l’incident et informés de la manière de répondre aux communications externes avec les actionnaires et les partenaires. Les employés doivent être vigilants et doivent être encouragés à signaler tout comportement inhabituel avec leurs applications ou leurs terminaux. Les équipes de support informatique doivent guider les utilisateurs pour mettre à jour et corriger les applications sur les terminaux, tout comme les administrateurs système corrigent les applications côté serveur. N’oubliez pas que tout le monde est responsable de la sécurité des informations de l’organisation.

    1. Ne faites pas confiance aux données qui arrivent de l’extérieur

    Il semble que les codeurs accordent trop de confiance aux données non fiables. Laisser des portes ouvertes dans le code est une invitation pour les pirates à trouver des moyens d’exploiter les vulnérabilités et de manipuler le logiciel. Lors du codage, ne fournissez pas d’options basées sur des hypothèses, pour les fonctions que les utilisateurs peuvent vouloir utiliser (et utilisent rarement), car une personne avec des intentions malveillantes finira par trouver et abuser de ces options. Votre serveur accepte-t-il des données non fiables dans le journal ? C’est là que le modèle de confiance zéro et l’architecture de confiance zéro doivent être appliqués. Le logiciel doit être conçu pour ne jamais permettre à des utilisateurs non fiables ou non autorisés d’utiliser des données non fiables pour manipuler la manière dont ces données sont traitées.

    Regarde aussi:

    Log4j expliqué : comment il est exploité et comment y remédier

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.