English
Posted the 13.12.2021

Alerte de sécurité : Module Log4J

Actualités Cyber Sécurité

ALERTE DE SÉCURITÉ :

Mise à jour le 15-12-2021

Cher(e) client(e),

Une vulnérabilité touchant le module Log4j a été publiée récemment permettant un « Remote Code Execution ». Cette vulnérabilité est d’autant plus critique qu’elle impact un très grand nombre d’outils.
Les systèmes affectés par cette vulnérabilité sont :
Systèmes vulnérables :
Une liste exhaustive des produits impactés par cette vulnérabilité est disponible via ce lien.
  • Apache Log4j versions 2.0 à 2.14.1
  • Apache Log4j versions 1.x (versions obsolètes) si le composant JMS Appender est configuré pour prendre en compte JNDI (il s’agit d’une configuration très spécifique)
  • Les produits utilisant une version vulnérable de Apache Log4j
Solutions :
  • Mettre à jour log4j à la version 2.15.0 lorsque cela est possible, ou se rapprocher des éditeurs dont le produit utilise un Log4J vulnérable pour récupérer un patch.
  • Des mesures de protections temporaire sont applicable en attendant le patch :
    • Pour les applications utilisant les versions 2.7.0 et ultérieures de la bibliothèque Log4J, il est possible de se prémunir contre toute attaque en modifiant le format des évènements à journaliser avec la syntaxe %m{nolookups} pour les données qui seraient fournies par l’utilisateur. Cette modification impose de modifier le fichier de configuration de Log4J pour produire une nouvelle version de l’application. Cela requiert donc d’effectuer de nouveau les étapes de validation technique et fonctionnelles avant le déploiement de cette nouvelle version.
    • Pour les applications utilisant les versions 2.10.0 et ultérieures de la bibliothèque Log4J, il est également possible de se prémunir contre toute attaque en modifiant le paramètre de configuration formatMsgNoLookups à la valeur true, par exemple lors du lancement de la machine virtuelle Java avec l’option -Dlog4j2.formatMsgNoLookups=true. Une autre alternative consiste à supprimer la classe JndiLookup dans le paramètre classpath pour éliminer le vecteur principal d’attaque (les chercheurs n’excluent pas l’existence d’un autre vecteur d’attaque).
    • Un outil a été publié récemment permettant la modification à chauf des JVM sans nécessité un redémarrage de celle-ci, plus d’informations ici. Cet outil permet le contournement à chaud de la vulnérabilité, celui-ci ne dispense pas d’appliquer la configuration (mentionnée ci-dessous) en dur dans les configuration des JVM. Ainsi lorsque vos JVM redémarreront celles-ci prendront définitivement la configuration de contournement.

 

Actions effectuées par AntemetA :
  • Les signatures IPS spécifiques à cette vulnérabilité ont été bloquées sur les IPS frontaux AntemetA permettant une protection du Cloud AntemetA.
  • Pour les clients SOC AntemetA, des alertes de supervision spécifiques à cette vulnérabilité sont en place.

 

Bien cordialement,

Votre service clients AntemetA.
Accès Espace Client
+33 800 22 24 24

Contenus reliés

[COMMUNIQUÉ DE PRESSE] AntemetA lance une nouvelle génération de son Security Operations Center (SOC) avec Splunk

Hasards improbables et certitudes numériques : Les cyberattaques ne sont pas des jeux de dés

Prévoyez le pire, protégez l’essentiel : L’importance des sauvegardes dans une stratégie de cybersécurité

En poursuivant votre navigation, vous acceptez le dépôt et l’utilisation de cookies de fonctionnement du site, de statistiques de visites et de partage pour les réseaux sociaux. A tout moment, vous pouvez modifier vos réglages en cliquant sur Préférences cookies en pied de page du site.

J’accepte

Paramétrez vos cookies

Afin de vous assurer une navigation optimale nous utilisons plusieurs types de cookies. Ci-dessous vous pouvez choisir de les désactiver. Ces modifications sont valables uniquement sur l’équipement et le navigateur actuellement utilisé.

Fonctionnement

Autoriser le dépôt et la lecture de cookies de fonctionnement pour me permettre de profiter de l’ergonomie du site, du choix de la langue et de la sécurité de navigation.

Statistique

Autoriser le dépôt et la lecture de cookies de statistiques pour permettre à AntemetA de suivre la fréquentation du site et améliorer la qualité du service.

Réseaux Sociaux

Autoriser le dépôt et la lecture de cookies de réseaux sociaux pour me permettre de partager des contenus sur LinkedIn, Facebook, Twitter, Google + et YouTube.