Log4Shell : Recommandations et mesures de mitigation

Suite à la publication de la faille log4shell (CVE-2021-44228), la majorité des systèmes informatiques, basés notamment sur Java, seraient vulnérables.

La faille permettrait à un utilisateur distant non authentifié de prendre le contrôle total sur le système.

Des correctifs et des mesures de mitigation viennent d'être publiés pour se défendre contre cette faille 0-day.

Les systèmes suivants seraient parmi les plus concernés :

Apache Struts, Tomcat, ElasticSearch (utilisés par Magento, Sage X3 et d'autres plateformes), Logstash, IBM Qradar SIEM, VMWare, NetApp, Cisco, F5, Citrix, McAfee, Oracle, Webex, Pulse Secure

Comment détecter si je suis impacté :

Exécuter Sous linux :
grep -r "org/apache/logging/log4j/core/lookup/JndiLookup.class" /
Utiliser l’utilitaire : log4j RCE Exploitation Detection https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Ou encore Log4j RCE Scanner : https://github.com/adilsoybali/Log4j-RCE-Scanner

Recommandations :

Mise à jour immédiate vers la dernière version de Apache Log4J selon les recommandations de l’éditeur : https://logging.apache.org/log4j/2.x/security.html
Dans la situation où il serait difficile de mettre à jour le composant, il est recommandé de
De mettre le paramètre log4j2.formatMsgNoLookups à "true", pour désactiver la fonctionnalité qui fait appel au module vulnérable (Log4J 2 versions 2.10 to 2.14.1)
Dlog4j2.formatMsgNoLookups=true ou LOG4J_FORMAT_MSG_NO_LOOKUPS="true" (variable d'environnement)
Pour les versions de 2.0-beta9 to 2.10.0, il serait recommandé de supprimer la class JndiLookup class du classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Il a été remarqué que des sources d’attaque sont activement exploitées par l’attaque
Il est recommandé donc de paramétrer les firewall pour désactiver les trafics entrants et sortants à partir des IP et FQDN observés (liste non exhaustives et sera mise à jour régulièrement):

45.155.203.233 185.191.32.198 45.137.155.55 185.154.53.140 44.240.146.137 209.141.41.103 209.127.17.242 18.27.197.252 109.237.96.124 185.100.87.202 213.164.204.146 185.220.101.146 171.25.193.20 178.17.171.102 45.155.205.233 171.25.193.25 171.25.193.77 171.25.193.78 185.220.100.242 185.220.101.39 18.27.197.252 89.234.182.139 104.244.79.6 164.52.212.196 193.196.53.232 80.71.158.12 62.210.130.250 164.52.212.196

x41.me m3.wtf cuminside.club abrahackbugs.xyz pwn.af rce.ee interactsh.com vikingo.org burpcollaborator.net canarytokens.com dnslog.cn requestbin.net

Paramétrer les UTM et antivirus pour refuser la signature suivante (SHA256):
8b1d95123a8da5fc351422aa057b9ec7a954c608570757d644e56c72133ec1ed 370048d94830f0ebd41b052ef455ae4b5b7ca62cab27d1d8d94fdade67e454d0 1a5550f8c0fd049c03d55ebf6829b65d87e27c785f5c6e968dbd3af2ea5b0b50

En cas de besoin, n'hésitez pas à nous contacter (support@dyxis.com) ou à joindre un professionnel en sécurité informatique

A propos de l'auteur

Donia Hamouda

Co-Founder & Business Development Manager
Dyxis - Cloud Provider
janvier 2015 – Aujourd’hui
Tunisie - Canada
Dyxis - SSI
SSII spécialisée en web engineering, Business Intelligence, Solutions Métier SaaS
Online Payment / Sécurité informatique / CMS
Mesure d’audience TV & Monitoring Media
E-tourisme / Billetterie électronique
Cloud computing et virtualisation de datacenter
Hosting & Streaming solutions
Kyntis - Marketing & Training Solutions – Kyntis Marketing, Digital & Training Solutions

par Donia Hamouda le lundi 13 décembre 2021 |

Ce site utilise des cookies


En poursuivant votre navigation, vous acceptez l’utilisation, de la part de Dyxis et de tiers, de cookies et autres traceurs à des fins techniques, statistiques, partage avec les réseaux sociaux, profilage, personnalisation des contenus et publicité personnalisée sur nos services et ceux de nos partenaires.

Paramètres