Actualités

Log4j (Log4Shell) : un “scénario” proposé par CrowdSec pour bloquer les exploits en relation direct avec la vulnérabilité !

Remontant, originellement ou techniquement, à Janvier 2019, la vulnérabilité 0-day (re)mise en lumière par l’équipe LunaSec, depuis le 9 Décembre 2021, a ébranlé le monde sécuritaire : la bibliothèque  de journalisation (Apache) Log4j sous Java – que de très nombreux logiciels, applications voire jeux usitent… – est impactée par une faille permettant, dans le pire des cas, une exécution de code distante. Assignée CVE-2021-44228, elle concerne les versions inférieures à 2.15.0 via un contournement direct depuis la bibliothèque – JDK – voire depuis la journalisation LDAP. Bien qu’une solution d’atténuation soit possible – outre les recommandations de l’équipe Apache Logging qui rappelle la procédure de mise à jour – CrowdSec, pour faciliter encore plus l’application de mesures d’atténuation, propose un “scénario” pour contrer la faille relative à Log4j.

 

 

Nous avons publié un scénario qui vous aidera à détecter et à bloquer les tentatives d’exploitation de la vulnérabilité. Ce nouveau scénario peut être directement téléchargé depuis notre Hub et installé en un clin d’œil […] nous commençons maintenant à détecter de nombreuses adresses IP qui tentent d’exploiter cette vulnérabilité […] Ces adresses IP ont été sélectionnées par notre algorithme de consensus, ce qui signifie qu’elles ont reçu de nombreux votes contre elles provenant de notre réseau d’utilisateurs. Ceux en état « pas assez de données » sont très suspects mais peuvent toujours contenir des faux positifs, à vous de choisir. Celles classées comme « bénignes » sont des adresses IP utilisées par des personnes qui sont généralement du bon côté de la barrière, elles analysent probablement pour aider et non pour saper“, indique le billet sécuritaire, le 13 Décembre 2021. La liste des ressources ou liens :

 

(Source : CheckPoint)

 

 

Concernant le dernier point – mode replay – les lignes de commande pour initialiser ou amorcer la procédure :

 

sudo cscli hub update
sudo cscli scenarios install crowdsecurity/apache_log4j2_cve-2021-44228
sudo systemctl reload crowdsec

# sudo crowdsec –dsn “file://<log_file_path>” -no-api –type <log_type>
sudo crowdsec –dsn “file:///var/log/nginx/access.log” -no-api –type nginx

sudo cscli alerts list –scenario crowdsecurity/apache_log4j2_cve-2021-44228

 

(source : CheckPoint)

 

L’affaire – insécuritaire – n’est pas à prendre à la légère : dans le monde entier, les experts sécuritaires (pour ne citer que CheckPoint, Sophos ou encore Microsoft) alertent sur les dérives ou exploitation potentielles de la vulnérabilité à des fins frauduleuses (monétisation de la donnée ou de la crypto-donnée, quand il est question d’argent, suivant le terminal ciblé) voire à des fin d’ex-filtration de la donné personnelle et sensible. Depuis Github, un listing (non-complet mais bien fourni) recense les bulletins d’alerte, par éditeur. Concernant la CISA (Cyber-security and Infrastructure Security Agency), l’agence américaine travaille étroitement avec des “partenaires publics et privés” pour combler au plus vite la brèche tout en recommandant aux éditeurs-vendeurs de promouvoir au plus vite une solution de contournement (patch, mise à jour) à distribuer auprès de leurs clients. Des ressources sont également mises à dispositions au sein d’un guide dédié.

Depuis que nous avons commencé à mettre en œuvre notre protection, nous avons empêché plus de 1 272 000 tentatives d’attribution de la vulnérabilité, plus de 46 % de ces tentatives ont été effectuées par des groupes malveillants connus. Nous avons jusqu’à présent vu une tentative d’exploit sur près de 44% des réseaux d’entreprise dans le monde“, confirme, par ailleurs, l’équipe sécuritaire CheckPoint, selon les données actualisées au 14 Décembre 2021.. A veiller !

 

 

Source : blog CrowdSec – 13 Décembre 2021 – Log4j : blocage et détection de la vulnérabilité 0-day via un “scénario”.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6