Surveillance des exploits Log4j2 avec Silverfort
Décembre 12th, 2021 Yaron Kassner
Apache Log4j est un utilitaire de journalisation open source basé sur Java, largement utilisé par les applications d'entreprise. La communauté de la sécurité a récemment découvert une nouvelle vulnérabilité Log4jl (CVE-2021-44228) qui permet à un attaquant distant contrôlant les champs de journal dans certaines applications d'exploiter Log4j pour exécuter du code à distance sur une application cible. Par exemple, un attaquant peut amener une application à enregistrer un champ contenant une chaîne au format ${jndi:}. Si l'attaquant amène l'application à enregistrer une chaîne sous la forme ${jndi:}, l'application accédera à l'url ldap://example.com/a pour charger un objet. Si le pirate contrôle example.com, l’attaquant peut utiliser cette vulnérabilité pour charger un objet de son choix dans la mémoire de l’application.
Cette vulnérabilité a été comparée à HeartBleed et ShellShock en raison de son large impact. La plupart des applications qui utilisent Java utilisent log4j2 pour la journalisation, ce qui peut affecter un large éventail d'applications et de systèmes dans votre environnement. Il existe de nombreux rapports d'utilisation massive de cette vulnérabilité dans la nature ainsi qu'un nombre croissant de variantes d'exploit ; plus de 60 d'entre eux sont apparus dans les 24 heures suivant la divulgation initiale de la vulnérabilité.
Silverfort a examiné son code et n'a trouvé aucune utilisation vulnérable de log4j2 par le produit.
Selon CloudFlare, la vulnérabilité est déjà exploitée dans la nature et les attaquants utilisent souvent le champ du nom d'utilisateur pour exploiter cette vulnérabilité. Cela est logique car le champ du nom d'utilisateur est souvent enregistré sans succès. authentification demandes.
Silverfort surveille toutes les demandes d'authentification dans l'environnement et peut être utilisé pour auditer ces exploits Log4Shell en signalant l'utilisation de la chaîne « ${jndi : » dans les demandes d'authentification. Il est conseillé aux équipes de sécurité de mettre à jour leur logiciel dès que possible et de vérifier si leurs serveurs vulnérables ont pu être compromis avant le correctif.
Des questions? Nous sommes toujours ici pour toi. test
