{"id":244964,"date":"2021-12-13T17:40:02","date_gmt":"2021-12-13T16:40:02","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=244964"},"modified":"2024-02-15T15:31:21","modified_gmt":"2024-02-15T14:31:21","slug":"alerte-securite-log4shell-la-reponse-des-produits-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-log4shell-la-reponse-des-produits-stormshield\/","title":{"rendered":"Alerte s\u00e9curit\u00e9 vuln\u00e9rabilit\u00e9 Zero-day Log4Shell : la r\u00e9ponse des produits Stormshield"},"content":{"rendered":"

La d\u00e9couverte de la vuln\u00e9rabilit\u00e9 Zero-day Log4Shell a fait l\u2019effet d\u2019une bombe \u00e0 l\u2019approche des f\u00eates de fin d\u2019ann\u00e9e. Le point sur une vuln\u00e9rabilit\u00e9 critique, avec l\u2019\u00e9quipe Stormshield Customer Security Lab. Et retrouvez les impacts de cette vuln\u00e9rabilit\u00e9 Log4Shell sur les produits Stormshield en bas de page.<\/strong><\/p>\n

Cette vuln\u00e9rabilit\u00e9 Log4Shell inqui\u00e8te \u00e9norm\u00e9ment la communaut\u00e9 s\u00e9curit\u00e9. D\u2019une part, car elle est d\u00e9j\u00e0 exploit\u00e9e mais, d\u2019autre part, car les mises \u00e0 jour de ce type de logiciel peuvent \u00eatre longues. Tr\u00e8s longues\u2026 Certains sp\u00e9cialistes estiment qu\u2019il faudra plusieurs ann\u00e9es avant que tous les logiciels impact\u00e9s soient patch\u00e9s.<\/p>\n

 <\/p>\n

Le contexte de la vuln\u00e9rabilit\u00e9 Log4Shell<\/h2>\n

Ce 9 d\u00e9cembre 2021, une vuln\u00e9rabilit\u00e9 Zero-day de type RCE (Remote Code Execution<\/em>) concernant la librairie log4j a \u00e9t\u00e9 d\u00e9couverte par Chen Zhaojun. Elle est d\u00e9sormais connue sous le nom de vuln\u00e9rabilit\u00e9 Log4Shell ou via le num\u00e9ro CVE-2021-44228<\/strong>. Cette librairie est largement utilis\u00e9e dans le framework Apache et son \u00e9cosyst\u00e8me. Son exploitation permettant la prise de contr\u00f4le \u00e0 distance du serveur, l\u2019impact de la vuln\u00e9rabilit\u00e9 est par cons\u00e9quent tr\u00e8s \u00e9lev\u00e9. \u00c0 tel point que son score CVSS est de 10<\/strong>, soit le plus \u00e9lev\u00e9 de cette \u00e9chelle de notation. Elle peut \u00eatre class\u00e9e dans une vuln\u00e9rabilit\u00e9 critique de type supply chain.<\/p>\n

Un POC a \u00e9t\u00e9 mis \u00e0 disposition sur GitHub d\u00e8s le 9 d\u00e9cembre, et propose par ailleurs des techniques de contournement des Web Application Firewalls<\/em>.<\/p>\n

Mise \u00e0 jour du 15\/12\/2021 avec la CVE-2021-45056 :<\/strong> une autre vuln\u00e9rabilit\u00e9 relative au module JNDI a \u00e9t\u00e9 d\u00e9couverte et permet un d\u00e9ni de service. Son score CVSS est de 3.7.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques de la vuln\u00e9rabilit\u00e9 Log4Shell<\/h2>\n

La librairie log4j permet la g\u00e9n\u00e9ration de logs pour les applications Java. Elle dispose d\u2019une fonctionnalit\u00e9 appel\u00e9e JNDI Lookup (Java Naming and Directory Interface<\/em>) qui proc\u00e8de automatiquement \u00e0 l\u2019interrogation de serveur LDAP (ou autre serveur relatif \u00e0 JNDI) lorsqu\u2019une requ\u00eate sp\u00e9cifique est formul\u00e9e.<\/p>\n

Il est possible pour un attaquant de forger un log ou un param\u00e8tre sp\u00e9cifique, qui, lorsqu\u2019il est parcouru par le programme, conduit la fonction JNDI \u00e0 effectuer une requ\u00eate sur le serveur de l\u2019attaquant,<\/p>\n