0

  • Votre panier est vide.

  • COMPTE

La vulnérabilité Log4J hantera Internet pendant des années

Certains articles de veille peuvent faire l'objet de traduction automatique.

Une vulnérabilité dans la bibliothèque de journalisation Apache open source Log4j a envoyé des administrateurs système et des professionnels de la sécurité se démener au cours du week-end. Connue sous le nom de Log4Shell, la faille expose certaines des applications et services les plus populaires au monde à des attaques, et les perspectives ne se sont pas améliorées depuis que la vulnérabilité a été révélée jeudi. Si quoi que ce soit, il est maintenant extrêmement clair que Log4Shell continuera de faire des ravages sur Internet pour les années à venir.

Des hackers exploitent le bug depuis le début du mois, selon des chercheurs de Cisco et Cloudflare. Mais les attaques se sont considérablement intensifiées après la divulgation d’Apache jeudi. Jusqu’à présent, les attaquants ont exploité la faille pour installer des cryptomineurs sur des systèmes vulnérables, voler les informations d’identification du système, creuser plus profondément dans les réseaux compromis et voler des données, selon un rapport récent. de Microsoft.

L’éventail des impacts est si large en raison de la nature de la vulnérabilité elle-même. Les développeurs utilisent des frameworks de journalisation pour garder une trace de ce qui se passe dans une application donnée. Pour exploiter Log4Shell, un attaquant n’a besoin que d’obliger le système à enregistrer une chaîne de code stratégiquement conçue. À partir de là, ils peuvent charger du code arbitraire sur le serveur ciblé et installer des logiciels malveillants ou lancer d’autres attaques. Notamment, les pirates peuvent introduire l’extrait de code de manière apparemment bénigne, par exemple en envoyant la chaîne dans un e-mail ou en le définissant comme nom d’utilisateur de compte.

Les principaux acteurs technologiques, dont Services Web Amazon, Microsoft, Cisco, Google Cloud, et IBM ont tous découvert qu’au moins certains de leurs services étaient vulnérables et se sont précipités pour apporter des correctifs et conseiller les clients sur la meilleure façon de procéder. L’étendue exacte de l’exposition est encore en vue, cependant. Les organisations moins exigeantes ou les petits développeurs qui peuvent manquer de ressources et de sensibilisation seront plus lents à faire face à la menace Log4Shell.

« Ce qui est presque certain, c’est que pendant des années, les gens découvriront la longue traîne des nouveaux logiciels vulnérables en pensant à de nouveaux endroits pour placer des chaînes d’exploit », explique le chercheur indépendant en sécurité Chris Frohoff. « Cela apparaîtra probablement pendant longtemps dans les évaluations et les tests de pénétration des applications d’entreprise personnalisées. »

La vulnérabilité est déjà utilisée par un « ensemble croissant d’acteurs de la menace », a déclaré Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, dans un communiqué. déclaration le samedi. Elle a ajouté que la faille est « l’une des plus graves que j’aie vues de toute ma carrière, sinon la plus grave » lors d’un appel avec des opérateurs d’infrastructures critiques lundi, comme indiqué pour la première fois. par CyberScoop. Dans ce même appel, un responsable de la CISA a estimé que des centaines de millions d’appareils sont probablement concernés.

Le plus dur sera de traquer tous ceux-là. De nombreuses organisations n’ont pas une comptabilité claire de chaque programme qu’elles utilisent et des composants logiciels de chacun de ces systèmes. Centre national de cybersécurité du Royaume-Uni a souligné lundi que les entreprises doivent « découvrir des instances inconnues de Log4j » en plus de corriger les suspects habituels. De par sa nature, les logiciels open source peuvent être intégrés partout où les développeurs le souhaitent, ce qui signifie que lorsqu’une vulnérabilité majeure survient, le code exposé peut se cacher à chaque coin de rue. Même avant Log4Shell, les défenseurs de la sécurité de la chaîne d’approvisionnement logicielle avaient de plus en plus insisté sur les « billes de matériel logiciel », ou SBOM, pour faciliter l’inventaire et le suivi des protections de sécurité.

Voir aussi :

décembre 15, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)