ACESI info alerte : Faille de sécurité log4j

23 Déc. 2021

23 décembre 2021

  • Outil disponible (rappel) :

Pour rappel, merci de prendre connaissance de l’information concernant la mise à disposition d’un outil gratuit, permettant d’identifier les applications susceptibles d’être identifiées.

Cet outil est fourni par TREND MICRO et est accessible à travers le lien suivant : https://log4j-tester.trendmicro.com/

  • Information du Département Sécurité du Groupe ACESI :

LISTE APPLICATIONS :

Nous vous proposons de prendre connaissance d’une liste des applications concernées qui nous paraît très complète.
Vous trouverez cette liste en cliquant sur le lien suivant : https://github.com/NCSC-NL/log4shell

Intéressant également, cet article de l’ENISA (The European Union Agency for Cybersecurity) : https://www.enisa.europa.eu/news/statement-on-log4shell

  • Informations fournisseurs (suite) :

Nous proposons de diffuser les communications des différents acteurs concernés (éditeurs, constructeurs, …) au fur et à mesure de leurs arrivées. Voici les nouvelles communications au 22 décembre 2021 :

  • CITRIX :

Communication de l’éditeur : https://support.citrix.com/article/CTX335705

  • TREND MICRO :

TREND MICRO analyse l’ensemble de ses plateformes afin de déterminer les versions vulnérables de Log4J nécessitant une remédiation ou une atténuation.
Pour plus d’informations sur la protection, l’investigation, les règles préventives et la détection, veuillez consulter notre portail : https://success.trendmicro.com/solution/000289940?mkt_tok=OTQ1LUNYRC0wNjIAAAGBUlCln85GmxMd7yQELBycVPMgTUa0QIIRYspkc9-03wIOHAsxXFb8kVitgWBqNdasn_jN2IKSxXjdbJoHUV7qPIDLl3pDhv7-kFSwxI2V6O4YFP2IPHU

  • WORDPRESS :

Beaucoup de sites internet sont bâtis via l’outil WORDPRESS.
Notre partenaire TIZ indique que la faille Log5Shell ne touche pas cette application.

  • KACE :

KACE confirme qu’aucune de ses solutions du portefeuille de gestion unifiée KACE n’est impactée :

  • System Management Appliance SMA (K1000)
  • System Deployment Appliance SDA (K2000)
  • MDM
  • Desktop Authority
  • Privilege Manager

Ils ont créé sur le portail Quest des annonces à ce sujet :
https://support.quest.com/
https://support.quest.com/essentials/log4j-vulnerability-update
https://support.quest.com/kace-systems-management-appliance/kb/335869/are-the-kace-sma-and-kace-sda-appliances-affected-by-cve-2021-44228

  • VMWARE :

Attention, le Workaround évolue et ceux mis en œuvre ces derniers jours ne résout pas tout.
Il est donc important de suivre les évolutions communiquées par l’éditeur.

Voir la page dédiée au premier Workaround pour vCenter https://kb.vmware.com/s/article/87081

  • COHESITY :

Informations complémentaires fournies par l’éditeur : https://downloads.cohesity.com/public/pkg/hotfixes/log4j/log4j_cluster_instructions.html

  • QUEST :

Communication de l’éditeur :https://support.quest.com/fr-fr/kb/335908/are-currently-supported-versions-of-foglight-affected-by-the-latest-apache-log4j2-vulnerabilities-cve-2021-44228-cve-2021-45046

16 décembre 2021

  • Outil disponible :

En tout premier lieu, merci de prendre connaissance de l’information concernant la mise à disposition d’un outil gratuit, permettant d’identifier les applications susceptibles d’être identifiées.
Cet outil est fourni par TREND MICRO et est accessible à travers le lien suivant : https://log4j-tester.trendmicro.com/

Contexte :

Cette faille log4shell est considérée comme étant de gravité maximale. Elle a donné lieu à la publication d’un CVE : CVE-2021-44228 

Tous les acteurs IT sont actuellement sur le front afin d’identifier les services concernés, d’estimer les multiples impacts potentiels et de trouver les solutions correctives à mettre en œuvre.
Beaucoup de communications restent à venir au fil de l’eau, de la part des multiples fournisseurs.
Il est de la responsabilité de chaque entreprise de faire le point avec l’ensemble de ses fournisseurs, afin de s’assurer que l’application ou le service utilisé ne soit pas concerné par cette faille.
L’article de Channelnews ci-dessous décrit assez bien la situation actuelle.
https://www.channelnews.fr/log4shell-une-vulnerabilite-de-gravite-maximale-sur-apache-log4j-109022?utm_content=HTML

  • Informations fournisseurs :

Nous proposons de diffuser les communications des différents acteurs concernés (éditeurs, constructeurs, …) au fur et à mesure de leurs arrivées.

  • PRTG :

News concernant PRTG : https://kb.paessler.com/en/topic/90213-is-prtg-affected-by-cve-2021-44228
Non affecté par la faille.

  • QUEST :

https://www.quest.com/ecard/70372/71594/default.html?utm_campaign=70372-71594-SU-GL-MetalogixEssentialslog4jvulnerability&utm_medium=email&utm_source=E10&utm_type=CDSGE000003432025

  • COHESITY :

COHESITY utilise bien Log4j mais uniquement dans ses process interne.
Les process interne n’étant pas accessibles depuis l’extérieur, il n’y a pas à effectuer d’action particulière.
Le correctif passera de manière automatique lors des futures mises à jour du produit.

  • KEMP :

Kemp a également confirmé que ses produits ne sont pas concernés par la faille Log4j. Ils précisent également que les loadmaster peuvent aider à protéger de la faille via mitigation : https://support.kemptechnologies.com/hc/en-us/articles/4416473820045

  • FORCEPOINT

Le 9 décembre 2021, une nouvelle vulnérabilité de type “0-day” affectant plusieurs versions de la bibliothèque de journalisation des événements « Apache Log4j 2 » a été rendue publique et affecte les produits Forcepoint suivants :

  • Forcepoint Web
  • Forcepoint Email
  • Forcepoint DLP
  • Forcepoint NGFW

La faille concernée a donné lieu à la publication d’un CVE :

  • CVE-2021-44228 

L’éditeur Forcepoint a d’ores et déjà communiqué la procédure à suivre et nous vous invitons à vous rapprocher de votre Centre de Services afin de déployer les correctifs au plus vite.
En cas de besoin, le Groupe ACESI peut vous aiguiller vers un partenaire expert sur ces solutions.

  • Information IMPORTANTE de dernière minute :

Une deuxième faille a été identifiée et voici les liens disponibles pour appliquer les patchs nécessaire (pour rappel, toujours en étroite collaboration avec le fournisseur de service).

2ème faille et 2ème patch !
CVE-2021-45046
https://thehackernews.com/2021/12/second-log4j-vulnerability-cve-2021.html?m=1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

13 décembre 2021

Ceci est une première communication tenant à vous informer de la situation suite à la découverte d’une faille de sécurité jugée critique, et à vous donner des premières pistes pour les actions à mener rapidement. Le cas échéant et en fonction des informations qui nous arrivent au fil de l’eau de la part des différents éditeurs et constructeurs, nous vous apporterons des informations complémentaires dans de prochaines communications.

Le 10 décembre dernier, le CERT FR  a publié une vulnérabilité hautement critique, qui met potentiellement en danger un nombre important d’applications. La bibliothèque open source log4j est en effet largement utilisée pour le développement d’applications Java. La communauté informatique craint donc une utilisation massive de cette vulnérabilité.

Cette vulnérabilité est plutôt orientée vers le monde applicatif (développeurs et éditeurs d’applications), donc dans l’idéal il faudrait que vous inventoriez les applicatifs qui utilisent Apache et que vous demandiez à vos éditeurs de solutions s’ils sont ou non impactés par cette faille. Si oui, ils doivent vous informer au plus vite des actions correctives à mener (de leur côté ou par mise à jour fournie par leurs soins).

Dans tous les cas il est important de comprendre que cette faille n’est dangereuse que si le service concerné est accessible depuis l’extérieur !

Vous devez donc prioriser ces services accessibles depuis l’extérieur pour questionner vos fournisseurs, et le cas échéant appliquer les procédures de contournement ou les mises à jour qui doivent vous être fournies par l’éditeur. Dans le domaine infra qui nous incombe, la situation à cette heure est la suivante :

  • Citrix :
    Ils sont en cours d’analyse pour vérifier les impacts potentiels sur l’ensemble de leurs services.
    Nous pouvons déjà vous informer que le service le plus critique (car accessible depuis l’extérieur : Citrix ADC) n’est pas impacté par cette faille.
  • VMware :
    D’après la liste des produits impactés (liste disponible à cette heure mais qui pourrait potentiellement évoluer), VCenter doit faire l’objet d’une correction par workaround (la mise à jour de correction est en cours de préparation, mais pas encore disponible à cette heure). Attention car cela concerne un grand nombre de solutions installées.

Dans tous les cas et au moins pour ces 2 éditeurs, il est impératif de continuer à suivre les prochaines communications sur le sujet, car il est possible que d’autres services soient impactés.

Dans le domaine de la sécurité, les éditeurs TREND MICRO et SOPHOS nous ont communiqué qu’ils n’étaient pas impactés. Pareil pour KACE qui vient également de nous informer qu’ils n’étaient pas impactés.  

Les constructeurs PALO ALTO et FORTINET nous indiquent pour leur part qu’ils ne sont pas impactés et qu’ils ont déjà prévu des mises à jour permettant de détecter d’éventuelles attaques liées à cette faille.

Les recommandations de l’ANSSI sur ce sujet sont à cette heure de passer à la version la plus récente d’Apache. Ce type de mise à jour pouvant néanmoins perturber le bon fonctionnement de l’application (selon les bonnes pratiques il faut toujours passer par une phase préalable de test), il est essentiel d’agir en conformité avec les recommandations des éditeurs. Voici toutefois à titre d’information et si toutes les conditions sont réunies, la démarche idéale à suivre :

Mettre à jour le plus rapidement possible log4j, vers la version 2.15.0 (la 2.15.0-rc2 semble être la bonne). Cette opération n’étant pas anodine, la prudence est de mise pour assurer la continuité de vos services.

Si votre environnement ne permet pas cette mise à jour, nous recommandons :

  • Pour les versions ultérieures à 2.10, mettre la propriété log4j2.formatMsgNoLookups ou la variable d’environnement LOG4J_FORMAT_MSG_NO_LOOKUPS à true.
  • Pour les versions ultérieures à 2.7, changer le format des événements à journaliser avec la syntaxe %m{nolookups} (au lieu de %m).
  • Pour les versions ultérieures à 2.0-beta9 et antérieures à 2.10.0, retirer la classe JndiLookup (zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).

Dans tous les cas nous vous invitons à couper les accès “externes” aux serveurs affectés par cette vulnérabilité (ou les limiter au maximum), et à préconiser un accès uniquement interne ou via VPN à ces serveurs.

Si vous souhaitez une assistance pour la gestion de cette crise, il faut nous fournir en premier lieu la liste des services utilisant Apache, et en priorité les applications qui sont accessibles depuis l’extérieur. Nous précisons toutefois qu’en cas de demande de prise en charge de ces opérations par VITA, les démarches d’investigations seront longues en temps homme.

Pour plus de renseignement, n’hésitez pas à revenir vers votre contact commercial habituel.

Dans l’attente des prochaines communications à venir, toute l’équipe du Groupe ACESI reste à votre disposition en cas de besoin. Bien à vous,

Ces articles peuvent vous intéresser