Crédit : Dreamstime
À moins que vous n’ayez été sur une île éloignée sans accès Web, vous avez en fait vu les en-têtes et les messages relatifs à la vulnérabilité dans l’application logicielle de journalisation appelée Log4j. Log4j est une bibliothèque de journalisation basée sur Java utilisée dans de nombreuses applications tierces. Il fait également partie des services de journalisation Apache. Les grandes entreprises qui codent leurs propres applications internes ont probablement des codeurs parmi leur personnel qui savent qu’ils ont utilisé ce logiciel et prennent actuellement des mesures pour l’atténuer. Pour les applications internes, vous devez mettre à niveau le logiciel Log4j vers les variantes actuelles.
Les consultants et les services de petite et moyenne taille, cependant, peuvent ne pas comprendre qu’ils ont configuré des applications logicielles sensibles qui sont vulnérables à cette vulnérabilité. L’équipe Huntress a préparé de nombreuses ressources pour les consultants et les entreprises qui pourraient ne pas avoir de groupes internes avec des ressources pour identifier s’ils sont sensibles.
- Outil de test de vulnérabilité Log4J
- Testez les applications qui incluent la journalisation au départ
- Conseils d’atténuation Microsoft Log4j
- Affichez le trafic sortant
Outil de détection de vulnérabilité Log4J
Huntress utilise également un outil de test convivial qui vous permet de vérifier les applications internes si elles sont vulnérables. Ils génèrent une chaîne spéciale que vous pouvez utiliser pour vérifier vos applications internes. Vous pouvez entrer la chaîne dans un emplacement qui nécessiterait normalement une entrée de l’utilisateur, par exemple un nom d’utilisateur ou un mot de passe. Une fois que vous avez entré la chaîne d’entrée, évaluez la page de test résultante du site Web de l’équipe Huntress et évaluez si vos applications sont sensibles. S’il n’y a aucune preuve de « goutte à goutte » externe, c’est une bonne indication que vos applications internes sont à l’abri de cette conception d’attaque.
Effectuez ce test uniquement sur les applications et les ressources que vous possédez ou sur lesquelles vous avez un contrôle légal . L’évaluation d’une application sur laquelle vous n’avez pas légalement de droits constitue une violation de la majorité des conditions générales et du contrat des fournisseurs de services Internet. Le site de blog Huntress souligne que les ennemis essaient actuellement de l’utiliser pour entrer dans les systèmes en utilisant généralement une requête LDAP (Accès au protocole) du site Lightweight Directory. Huntress a proposé un outil qui crée une demande qui vous sera ensuite signalée. Coupez et collez simplement la charge utile du site Log4Shell dans votre application. John Hammond de Huntress a également fourni une vidéo montrant le fonctionnement de la vulnérabilité.
Testez d’abord les applications qui incluent la journalisation
Le groupe NCC vous suggère d’examiner vos applications logicielles et vos fournisseurs pour détecter d’éventuelles vulnérabilités. Pensez aux applications qui incluent la journalisation et testez ces applications initialement, mais pensez également aux applications pouvant dépendre de LDAP, qui fonctionne sur une couche au-dessus de la pile TCP/IP. Il offre un mécanisme utilisé pour créer des liens, rechercher et personnaliser des répertoires Web. Comme le note Microsoft, « Un modèle courant de danger d’exploitation, par exemple, est une application Web avec un code conçu pour traiter les noms d’utilisateur, les référents ou les chaînes d’agent utilisateur dans les journaux. »
Suggestions d’atténuation Microsoft Log4j
Microsoft déclare que si vous utilisez Microsoft Defender Antivirus sur vos gadgets Windows ou Linux, il évitera l’exploitation. Les exploits actuels ont placé un logiciel de minage de bitcoins sur des systèmes avec des chargeurs Cobalt Strike Beacon. Microsoft vous recommande également de rechercher dans les journaux du logiciel de pare-feu les commandes suspectes et les requêtes LDAP.
Nativement, Windows n’est pas vulnérable à l’utilisation de Log4j, alors ne cherchez pas de preuves de l’attaque dans votre cas Windows. journaux. Essayez plutôt de trouver cela dans les applications que vous avez réellement achetées ou établies car c’est généralement là que se trouvent les routines de journalisation Log4j.
Microsoft vous recommande d’activer la directive de réduction de la surface d’attaque pour empêcher les fichiers exécutables de s’exécuter à moins qu’ils ne remplissent une occurrence, un âge ou un critère de liste. Cela vous protégera pendant que vous enquêtez si votre réseau est en danger.
Surveillez le trafic sortant
Examinez vos alternatives et outils que vous pouvez utiliser pour suivre le trafic sortant. Avant la pandémie, de nombreuses entreprises utilisaient un réseau standard derrière un programme de pare-feu qui pouvait ensuite être utilisé pour évaluer les risques sortants. Nous avons maintenant besoin d’outils basés sur le cloud pour évaluer les connexions sortantes à partir de postes de travail géographiquement payés. Vous devrez peut-être contacter vos antivirus ou garder un œil sur les fournisseurs d’outils et inclure des services pour vous permettre de suivre à distance les machines de votre réseau.
Vérifiez si des connexions sortent de votre domaine. aux sites Web qui ont effectivement été déterminés dans des attaques existantes. Idéalement, examinez également les alternatives dont vous avez besoin pour bloquer les connexions de votre réseau aux URL notées.
Le groupe NCC a identifié les domaines et les adresses IP utilisés dans les attaques. Gardez un œil sur cette liste car elle ne manquera pas d’augmenter dans les jours à venir. En outre, contactez les fournisseurs de votre programme de pare-feu pour obtenir leurs recommandations de demandes de renseignements afin que vous puissiez évaluer votre environnement pour les systèmes vulnérables appelant les serveurs. Vous pouvez également consulter les notifications de sécurité et les listes sur ce site Web.
Des événements comme celui-ci se reproduiront. Vérifiez si vous disposez de ressources et de personnel pouvant effectuer des analyses et des enquêtes. Si vous n’avez pas le personnel disponible pour examiner si vous avez une capacité pour une telle conception d’attaques, pensez à inclure des services cloud et des outils de suivi qui peuvent suivre les connexions sortantes et vous fournir ces détails. Les petites entreprises ou les spécialistes peuvent envisager d’ajouter Microsoft Protector for Company, une plate-forme en préversion publique qui peut surveiller de telles attaques de sortie, ou Microsoft Lighthouse, une console qui vous permettra de garder un œil sur plusieurs entreprises pour de telles conceptions d’attaques.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
