[ad_1]
Peter Membrey, architecte en chef d’ExpressVPN, se souvient très bien d’avoir vu en ligne la nouvelle de la vulnérabilité Log4j.
« Dès que j’ai vu comment on pouvait l’exploiter, c’était horrible », dit Membrey. « Comme dans un de ces films catastrophe où il y a une centrale nucléaire, ils découvrent qu’elle va fondre, mais ils ne peuvent pas l’arrêter. Vous savez ce qui s’en vient, mais il y a très peu de choses que vous pouvez faire.
Depuis que la vulnérabilité a été découverte la semaine dernière, le monde de la cybersécurité est passé à la vitesse supérieure pour identifier les applications vulnérables, détecter les attaques potentielles et atténuer les exploits autant que possible. Néanmoins, les hacks sérieux utilisant l’exploit sont presque certains.
Jusqu’à présent, les chercheurs ont observé des attaquants utilisant la vulnérabilité Log4j pour installer des ransomwares sur des serveurs de pots de miel, des machines délibérément rendues vulnérables dans le but de suivre les nouvelles menaces. Une entreprise de cybersécurité a signalé que près de la moitié des réseaux d’entreprise qu’elle surveillait avaient vu des tentatives d’exploitation de la vulnérabilité. Le PDG de Cloudflare, un fournisseur de sécurité de sites Web et de réseaux, annoncé tôt que la menace était si grave que l’entreprise déploierait une protection par pare-feu pour tous les clients, y compris ceux qui ne l’avaient pas payée. Mais les informations concrètes sur l’exploitation dans la nature restent rares, probablement parce que les victimes ne savent pas ou ne veulent pas encore reconnaître publiquement que leurs systèmes ont été violés.
Quoi est On sait avec certitude que la portée de la vulnérabilité est énorme. Une liste des logiciels concernés compilée par la Cybersecurity and Infrastructure Security Agency (CISA) – et limitée aux seules plates-formes logicielles d’entreprise – s’étend sur plus de 500 éléments au moment de la mise sous presse. Une liste de toutes les applications concernées s’étendrait sans aucun doute à plusieurs milliers d’autres.
Certains noms de la liste seront familiers au public (Amazon, IBM, Microsoft), mais certains des problèmes les plus alarmants sont survenus avec des logiciels qui restent dans les coulisses. Des fabricants tels que Broadcom, Red Hat et VMware créent des logiciels sur lesquels les entreprises clientes créent des entreprises, répartissant efficacement la vulnérabilité au niveau de l’infrastructure de base de nombreuses entreprises. Cela rend le processus de détection et d’élimination des vulnérabilités d’autant plus difficile, même après la publication d’un correctif pour la bibliothèque affectée.
Même selon les normes de vulnérabilités très médiatisées, Log4Shell frappe une partie inhabituellement importante d’Internet. Cela reflète le fait que le langage de programmation Java est largement utilisé dans les logiciels d’entreprise, et pour les logiciels Java, la bibliothèque Log4j est extrêmement courante.
« J’ai effectué des requêtes dans notre base de données pour voir chaque client qui utilisait Log4j dans l’une de leurs applications », explique Jeremy Katz, co-fondateur de Tidelift, une entreprise qui aide d’autres organisations à gérer les dépendances des logiciels open source. « Et la réponse était : chacun d’entre eux qui a des applications écrites en Java. »
La découverte d’un bogue facilement exploitable trouvé dans un langage principalement axé sur l’entreprise fait partie de ce que les analystes ont appelé une « tempête presque parfaite » autour de la vulnérabilité Log4j. N’importe quelle entreprise peut utiliser de nombreux programmes contenant la bibliothèque vulnérable – dans certains cas, avec plusieurs versions dans une seule application.
« Java existe depuis de nombreuses années et il est très utilisé dans les entreprises, en particulier les grandes », déclare John Graham-Cumming, directeur technique de Cloudflare. « C’est un grand moment pour les personnes qui gèrent des logiciels au sein des entreprises, et elles exécuteront les mises à jour et les atténuations aussi rapidement que possible. »
Compte tenu des circonstances, « aussi vite qu’ils le peuvent » est un terme très subjectif. Les mises à jour logicielles pour les organisations telles que les banques, les hôpitaux ou les agences gouvernementales sont généralement effectuées à l’échelle des semaines et des mois, et non des jours ; généralement, les mises à jour nécessitent de nombreux niveaux de développement, d’autorisation et de test avant d’être intégrées à une application en direct.
En attendant, les mesures d’atténuation qui peuvent être repoussées rapidement fournissent une étape intermédiaire cruciale, permettant de gagner un temps précieux pendant que les entreprises, grandes et petites, se démènent pour identifier les vulnérabilités et déployer des mises à jour. C’est là que les correctifs au niveau de la couche réseau ont un rôle clé à jouer : étant donné que les programmes malveillants communiquent avec leurs opérateurs via Internet, les mesures qui restreignent le trafic Web entrant et sortant peuvent constituer un pis-aller pour limiter les effets de l’exploit.
Cloudflare était une organisation qui a évolué rapidement, a expliqué Graham-Cumming, ajoutant de nouvelles règles pour son pare-feu qui bloquaient les requêtes HTTP contenant des chaînes caractéristiques du code d’attaque Log4j. ExpressVPN a également modifié son produit pour se protéger contre Log4Shell, mettant à jour les règles VPN pour bloquer automatiquement tout le trafic sortant sur les ports utilisés par LDAP – un protocole que l’exploit utilise pour récupérer des ressources à partir d’URL distantes et les télécharger sur une machine vulnérable.
« Si un client est infecté, nous avons déjà vu les scanners comme une charge utile malveillante, ils peuvent donc commencer à analyser Internet et infecter d’autres personnes », explique Membrey. « Nous voulions mettre un plafond là-dessus, pas seulement pour le bien de nos clients mais pour le bien de tous les autres – un peu comme avec Covid et les vaccins. »
Ces changements se produisent généralement plus rapidement car ils ont lieu sur des serveurs appartenant aux sociétés de pare-feu ou de VPN et nécessitent peu (voire aucune) action de la part de l’utilisateur final. En d’autres termes, une application logicielle obsolète pourrait toujours bénéficier d’un niveau de protection décent d’un VPN mis à jour, même si cela ne remplace pas un correctif approprié.
Malheureusement, étant donné la gravité de la vulnérabilité, certains systèmes seront compromis, même avec des correctifs rapides déployés. Et il peut s’écouler beaucoup de temps, voire des années, avant que les effets ne se fassent pleinement sentir.
« Les attaquants sophistiqués exploiteront la vulnérabilité, établiront un mécanisme de persistance, puis disparaîtront », a déclaré Daniel Clayton, vice-président des services mondiaux de cybersécurité chez Bitdefender. « Dans deux ans, nous entendrons parler de violations importantes, puis nous apprendrons qu’elles ont été violées il y a deux ans. »
Le bogue de Log4j met une fois de plus en évidence la nécessité et le défi de financer adéquatement les projets open source. (Une énorme quantité d’infrastructures technologiques pourrait aussi bien dépendre d’un « projet qu’une personne aléatoire du Nebraska maintient sans relâche depuis 2003 », comme l’explique une bande dessinée XKCD toujours pertinente.) Bloomberg a rapporté plus tôt cette semaine que de nombreux développeurs impliqués dans la course au développement d’un correctif pour la bibliothèque Log4j étaient des bénévoles non rémunérés, malgré l’utilisation mondiale du logiciel dans les applications d’entreprise.
L’une des dernières vulnérabilités à secouer Internet, Heartbleed, a également été causée par un bogue dans une bibliothèque open source largement utilisée, OpenSSL. À la suite de ce bogue, des entreprises technologiques comme Google, Microsoft et Facebook se sont engagées à investir plus d’argent dans des projets open source essentiels à l’infrastructure Internet. Mais à la suite des retombées de Log4j, il est clair que la gestion des dépendances reste un problème de sécurité sérieux – et que nous ne sommes pas près de résoudre.
« Quand vous regardez la plupart des gros piratages qui se sont produits au fil des ans, ce n’est normalement pas quelque chose de vraiment sophistiqué qui défait les grandes entreprises », déclare Clayton. « C’est quelque chose qui n’a pas été corrigé. »
[ad_2]