Depuis début décembre, de nombreuses entreprises sont potentiellement impactées par plusieurs vulnérabilités découvertes dans le framework de journalisation Log4j d’Apache. Log4j est présent dans plusieurs centaines de produits, du cloud (certains produits d’AWS sont impactés), des outils de développement (comme Oracle JDeveloper), des appliances (par exemple avec Clearswift Secure Gateway), des sites web, différents logiciels intégrés aux ordinateurs, etc. Ce composant anodin est connu par une minorité d’informaticiens, et a un impact mondial sur plusieurs milliers d’entreprises, y compris Apple, Google, Tesla et bien d’autres géants, en faisant apparaître une porte d’entrée dans leur SI.
En préambule, j’ai vu beaucoup de questions autour des vulnérabilités actuelles et de Log4j version 1.x. Je tenais donc à rappeler que le sujet de l’obsolescence est un sujet d’entreprise à prendre avec la plus haute importance afin d’éviter de la traiter pendant une crise. C’est d’ailleurs une des règles du guide d’hygiène informatique mis à disposition par l’ANSSI [0].
Dernière chose, pensez également à maintenir votre CMDB à jour et à avoir une capacité à auditer l’ensemble de votre parc dans un délai très court. Si ce n’est pas le cas, il faudra l’indiquer dans le « post-mortem » / « lesson learned » de l’incident.
1. Introduction
Tout a commencé le 24 novembre 2021. Chen Zhaojun de l’équipe de sécurité d’Alibaba a signalé à Apache la vulnérabilité d’exécution de code à distance impactant Log4j.
Le 6 décembre 2021, Apache publie Log4j 2.15 et le 9 décembre 2021, la vulnérabilité signalée le 24/11 est...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
