Log4j : le CESIN publie un Kit pour aider les entreprises et les collectivités

Ce composant Java est présent dans un grand nombre de logiciels/progiciels, d’applications et de services au niveau mondial. L’exploitation des vulnérabilités liées à Log4j peut avoir des impacts importants pour les entreprises, avec des attaques cyber allant du déni de service à la prise de contrôle à distance des composants ciblés.

Selon un sondage auprès des membres du CESIN, 80% d’entre eux ont activé une Cellule de Crise, les équipes dites DevSecOps -qui regroupent développeurs, experts en cybersécurité et équipes en charge de l’Exploitation et des Opérations informatiques- ont engagé un travail de fond pour appliquer le plus rapidement possible des correctifs et mesures de sécurité, tout en maintenant une continuité et en préservant la qualité du service rendu.

Les nombreux sous-traitants informatiques des entreprises étant bien évidemment touchés, une grande part de cette gestion de crise consiste à s’assurer que ces fournisseurs ont bien pris en compte cette vulnérabilité. Ceci ne fait qu’augmenter la part d’incertitude qui pèse aujourd’hui sur les entreprises par rapport à l’ampleur des conséquences de cette faille.

« Lors du congrès du CESIN organisé à Reims début décembre 2021, le thème choisi avait trait à la sécurité applicative. C’est un sujet qui nous préoccupe fortement, et nous avions fait le constat qu’il reste encore un énorme travail afin de renforcer la prise en compte de la sécurité dans les développements, et notamment dans l’intégration de librairies open source. » Alain Bouillé, Délégué Général du CESIN 

Les vulnérabilités Log4j sont activement exploitées !

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Plusieurs catégories d’attaques ont été constatées et la situation évolue régulièrement. Parmi les attaques avérées chez les membres du CESIN :

• injection de cryptomineurs sur les serveurs concernés par la vulnérabilité Log4Shell (Monero par exemple)
• exploitation par des malwares (StealthLoader par exemple) ou pour déposer des ransomwares (Khonsari par exemple)
• Déni de service
• exploitation par de multiples menaces persistantes avancées (APT)

La complexité des opérations de défense a été accrue par l’apparition de deux nouvelles vulnérabilités au cours de la semaine écoulée. Ces dernières détectées grâce à une veille permanente effectuée par les Responsables Sécurité des Systèmes d’Information (RSSI) et les équipes DevSecOps, ont nécessité d’adapter la posture sécurité.