Vieux Nicolas

Depuis début décembre, de nombreuses entreprises sont potentiellement impactées par plusieurs vulnérabilités découvertes dans le framework de journalisation Log4j d’Apache. Log4j est présent dans plusieurs centaines de produits, du cloud (certains produits d’AWS sont impactés), des outils de développement (comme Oracle JDeveloper), des appliances (par exemple avec Clearswift Secure Gateway), des sites web, différents logiciels intégrés aux ordinateurs, etc. Ce composant anodin est connu par une minorité d’informaticiens, et a un impact mondial sur plusieurs milliers d’entreprises, y compris Apple, Google, Tesla et bien d’autres géants, en faisant apparaître une porte d’entrée dans leur SI.

Cela fait 20 ans qu’une vulnérabilité présente dans OpenSSH permet d’énumérer les utilisateurs. Elle a été rendue publique le 17 août 2018 sous la référence CVE ID 2018-15473. Du fait de sa facilité d’exploitation, des exploits ont rapidement vu le jour sur des sites de dépôt de code comme GitHub, des scripts Python ont également été codés et même le très célèbre Metasploit a mis à jour son module d'énumération des utilisateurs SSH [Ref] « modules/auxiliary/scanner/ssh/ssh_enumusers.rb ». Cette vulnérabilité ne donne pas la liste des noms d'utilisateurs valides, mais permet, sans faire d’attaque par mot de passe, de dire si un utilisateur existe ou non. Nous allons voir ensemble au travers de cet article pourquoi cette vulnérabilité existe, comment l'exploiter et de quelle manière nous pouvonsnous en prévenir.

De nos jours, il est de plus en plus difficile de détecter une activité malveillante, ce qui rend extrêmement important la collecte des journaux d’événements. Cet article fournit une introduction pour celle-ci et pourra être appliquée à tous les types de log ; peu importe si ce sont des événements système, applicatif, réseau, etc… Nous verrons également comment ces derniers devront être stockés et gérés. L'objectif de ce document est double : - Présenter à un responsable les bienfaits de collecter et superviser ses logs, - Orienter avec les bases, une équipe de sécurité opérationnelle ou une équipe d’analystes forensic. De nombreux outils disponibles dans le commerce existent pour collecter les journaux d’événements, je vous présenterai via un cas pratique comment collecter tous types d’événements, et comment mettre en place un SIEM facilement et rapidement.