L’Agence pour la cybersécurité et les infrastructures (CISA) du ministère américain de la sécurité intérieure a publié des recommandations sur la manière de remédier à la vulnérabilité désormais répandue d’Apache Log4j.
Tout d’abord, les vendeurs doivent identifier, atténuer et mettre à niveau les produits utilisant Log4j vers la dernière version de la bibliothèque.
Deuxièmement, toutes les organisations doivent prendre immédiatement les mesures suivantes :
- Identifiez toutes les ressources accessibles via Internet qui permettent la saisie par l’utilisateur et utilisent la bibliothèque Log4j quelque part dans leur infrastructure.
- Identifiez tous les actifs qui utilisent Log4j.
- Mettez à jour ou isolez les actifs affectés. Une fois identifiée, l’organisation doit rechercher des indicateurs de compromission et des schémas habituels d’activités post-exploitation. Supposons que l’actif a été compromis.
- Surveillez les schémas de trafic inhabituels. Par exemple, le trafic sortant lié aux protocoles JNDI, LDAP/RMI, DNS ou DMZ.
Une fois le risque maîtrisé, les utilisateurs ou organisations concernés doivent, dans la mesure du possible, mettre à niveau la bibliothèque vers la dernière version disponible. Si une mise à niveau n’est pas possible, les contre-mesures suivantes sont recommandées :
- Désactiver les logiciels qui utilisent la bibliothèque. Cela pourrait limiter la visibilité d’autres problèmes opérationnels, car ĺa bibliothèque est chargée de prendre les journaux.
- Bloquer les recherches JNDI. Il s’agit d’une option efficace, mais qui peut nécessiter des travaux de développement et une perte de fonctionnalité.
- Arrêter temporairement les infrastructures touchées. Cela réduirait la probabilité d’une attaque.
- Créez un réseau isolé pour séparer les infrastructures touchées du reste du réseau de l’entité.
- Déployer un WAF pour protéger les infrastructures concernées. Bien qu’elle ne soit pas une solution complète, elle peut contribuer à réduire le nombre de menaces.
- Appliquez des micro-patchs. Il existe des solutions qui ne font pas partie de la mise à jour officielle mais qui peuvent contribuer à atténuer les risques dans certains cas spécifiques.
Pour rester à jour, la CISA a créé un dépôt Github où elle publiera les mises à jour de ce protocole : https://github.com/cisagov/log4j-affected-db.
Plus d’information :
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
Laisser un commentaire