Le 9 décembre 2021, des chercheurs en sécurité ont annoncé une vulnérabilité de type "zero-day", CVE-2021-44228, affectant la bibliothèque de journalisation Apache Log4j basée sur Java, largement utilisée. Connue sous le nom de Log4Shell, cette vulnérabilité peut permettre l'exécution de code à distance non authentifié et l'accès à des serveurs - en fait, une prise de contrôle complète des systèmes vulnérables.
Log4j est utilisé dans de nombreuses plateformes en nuage, applications web et services de messagerie, ce qui signifie qu'un large éventail de systèmes pourrait être menacé par la vulnérabilité. GitHub a publié une liste d'applications et de systèmes vulnérables, et les chercheurs en sécurité signalent que les cyberattaquants effectuent déjà des centaines de milliers de tentatives d'exploitation de la vulnérabilité chaque minute.
Parce qu'il est déployé dans des millions d'applications web basées sur Java dans le monde entier, il est important pour les organisations de déterminer non seulement leur surface d'attaque interne, mais aussi le risque auquel elles sont confrontées de la part de tiers vulnérables.
8 questions pour déterminer immédiatement l'exposition de vos tiers à Log4Shell
Prevalent a élaboré une évaluation en 8 questions qui peut être utilisée pour identifier rapidement tout impact potentiel sur votre entreprise en déterminant quels sont les tiers qui utilisent Log4j dans leurs applications et quels sont leurs plans d'atténuation.
| Questions | Réponses potentielles |
|---|---|
| 1) L'organisation a-t-elle déterminé si elle est concernée par la récente vulnérabilité Apache d'exécution de code à distance (RCE) sur son programme utilitaire Log4j ?
Texte de l'aide : Cette question concerne la récente vulnérabilité d'exécution de code à distance (CVE-2021-44228) affectant le programme utilitaire Apache Log4j, sur les versions 2.0-beta9 à 2.14.1. |
Veuillez sélectionner UN des éléments suivants :
a) L'organisation a examiné et identifié qu'elle est touchée par la récente vulnérabilité d'exécution de code à distance d'Apache. b) L'organisation a examiné et identifié qu'elle n'est pas concernée par la récente vulnérabilité d'exécution de code à distance d'Apache. |
| 2) L'organisation a-t-elle réussi à mettre à jour Log4j 2.15.0 comme recommandé ? | Veuillez sélectionner UN des éléments suivants :
a) Oui, l'organisation a réussi à mettre à jour le programme vers la dernière version 2.15.0. b) L'organisation n'est pas en mesure de mettre à jour la dernière version de Log4j. c) L'organisation n'a pas encore mis à jour le programme vers la dernière version 2.15.0. |
| 3) Quelle version du programme Log4j l'organisation utilise-t-elle actuellement ? | Veuillez sélectionner UN des éléments suivants :
a) The organization uses a release >=2.7 and <=2.14.1 b) The organization uses a release >=2.0-beta9 and <=2.10.0 (proceed to question 5) |
| 4) If your current release of Apache Log4j is *>=2.7 and <=2.14.1*, and your organization has not updated to the latest version, then have the following actions been taken?
Texte d'aide : Apache a publié les actions recommandées pour remédier à la vulnérabilité RCE. Les actions recommandées sont basées sur la version utilisée. |
Veuillez sélectionner TOUTES les réponses qui s'appliquent :
a) Pour l'atténuation, l'organisation a défini la propriété système log4j2.formatMsgNoLookups ou la variable d'environnement LOG4J_FORMAT_MSG_NO_LOOKUPS sur true. b) Tous les motifs PatternLayout ont été modifiés pour spécifier le convertisseur de messages sous la forme %m{nolookups} au lieu de %m. |
| 5) If your current release of Apache Log4j is *>=2.0-beta9 and <=2.10.0*, and your organization has not updated to the latest version, then have the following actions been taken?
Texte d'aide : Apache a publié les actions recommandées pour remédier à la vulnérabilité RCE. Les actions recommandées sont basées sur la version utilisée. |
Veuillez sélectionner TOUTES les réponses qui s'appliquent :
a) Pour l'atténuation, l'organisation a défini la propriété système log4j2.formatMsgNoLookups ou la variable d'environnement LOG4J_FORMAT_MSG_NO_LOOKUPS sur true. b) La classe JndiLookup a été supprimée du classpath : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class. |
| 6) La cyber-attaque a-t-elle affecté les applications critiques fournies ou utilisées pour soutenir les services aux clients ?
Texte d'aide : Il convient de prendre en considération les systèmes clients ou ceux qui détiennent des informations sur les clients et qui utilisent le programme utilitaire Log4j. |
Veuillez sélectionner UN des éléments suivants :
a) Oui, la vulnérabilité a affecté les applications fournies aux services clients ou utilisées pour les soutenir. b) Non, la vulnérabilité n'a pas affecté les applications fournies aux services clients ou utilisées pour les soutenir. |
| 7) L'organisation dispose-t-elle d'un plan d'enquête et de réaction en cas d'incident ?
Texte d'aide : Des procédures de surveillance, de détection, d'analyse et de signalement des événements et incidents liés à la sécurité de l'information doivent être mises en place et permettre à l'organisation de développer une stratégie de réponse claire pour traiter les incidents et événements identifiés. |
Veuillez sélectionner TOUTES les réponses qui s'appliquent :
a) L'organisation dispose d'une politique de gestion des incidents documentée. b) La politique de gestion des incidents comprend des règles pour le signalement des événements et des faiblesses en matière de sécurité de l'information. c) Un plan d'intervention en cas d'incident est élaboré dans le cadre de l'enquête sur l'incident et de la récupération. d) La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication avec les clients. |
| 8) Qui est désigné comme point de contact pour répondre aux questions supplémentaires ? | Veuillez indiquer le contact principal pour la gestion des incidents liés à l'information et à la cybersécurité.
Nom : Titre : Courriel : Téléphone : |
5 bonnes pratiques pour accélérer la réponse aux incidents par des tiers
Prevalent recommande une approche globale de la gestion des risques liés aux tiers en 5 étapes afin d'être plus proactif dans la détermination de l'exposition future aux vulnérabilités des tiers.
1. Inventaire des technologies tierces
La première étape pour découvrir votre exposition à une vulnérabilité tierce consiste à déterminer quels fournisseurs utilisent quelles technologies. Qu'ils soient déterminés passivement par une analyse externe ou activement par une évaluation interne spécialisée, les résultats devraient permettre à votre organisation de créer automatiquement des cartes de relations entre les entités par technologie de quatrième partie. Grâce à cette capacité, vous pouvez visualiser plus clairement le risque de concentration technologique parmi vos tiers et identifier rapidement les fournisseurs susceptibles d'être menacés par un incident de sécurité tel que Log4Shell.
2. Procéder à des évaluations ciblées des tiers vulnérables
L'étape suivante consiste à envoyer un questionnaire d'évaluation des risques aux tiers potentiellement vulnérables. Toutefois, en raison de la complexité de la plupart des incidents de sécurité et de la rapidité avec laquelle il faut y répondre, il n'est certainement pas souhaitable d'utiliser une feuille de calcul pour collecter ces données de diligence raisonnable.
Au lieu de cela, utilisez une plateforme qui automatise la collecte des réponses des tiers à un questionnaire standard, centralise les résultats dans un registre des risques unique et fournit des rapports faciles à lire indiquant les fournisseurs vulnérables et l'état d'avancement de leurs plans de remédiation.
3. Valider les résultats de l'évaluation à l'aide d'une analyse externe
Compte tenu de la gravité de la vulnérabilité de Log4Shell et des conséquences d'une éventuelle interruption d'activité pour vos fournisseurs, il est essentiel de valider les résultats de l'évaluation des risques en comparant les réponses des fournisseurs aux risques observables de l'extérieur, tels que d'éventuels logiciels malveillants dans l'infrastructure informatique de l'entreprise d'un fournisseur, ou des configurations erronées et d'autres vulnérabilités du web en direction du public. Pour ce faire, on peut mettre en corrélation les résultats de l'évaluation avec les résultats de la cyberanalyse dans un registre des risques unique qui ajoute un contexte aux résultats. L'alternative est une analyse manuelle des bases de données de vulnérabilités qui demande beaucoup de travail - et vous n'avez pas le temps pour cela !
4. Remédier à la situation et établir un rapport
Une fois que vous avez collecté, analysé et corrélé les réponses à l'évaluation des fournisseurs, triez les résultats pour vous concentrer sur les fournisseurs ayant l'impact le plus prioritaire sur votre organisation. Les meilleures solutions de gestion des risques des tiers offrent un classement des fournisseurs pour mieux comprendre lequel est le plus critique, des conseils intégrés de remédiation pour les fournisseurs et des modèles de rapport spécifiques aux cadres réglementaires et de sécurité pour simplifier l'inévitable demande de l'auditeur.
5. Contrôler en permanence les incidents de sécurité
Maintenir un flux continu d'informations et de mises à jour sur les incidents de sécurité. Recherchez une solution automatisée pour ce faire, car le simple fait de surveiller les flux RSS des fournisseurs ou les sites d'information n'apportera jamais la profondeur ou le contexte nécessaires pour être plus proactif dans votre réponse. Les bonnes solutions de surveillance des violations de données incluent les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs.
Prevalent peut aider à accélérer la réponse aux incidents des tiers
Prevalent Third-Party Incident Response Service est une solution qui permet d'identifier et d'atténuer rapidement l'impact d'incidents de sécurité tiers tels que Log4Shell en fournissant une plateforme pour gérer de manière centralisée les fournisseurs, mener des évaluations ciblées spécifiques à l'événement, noter les risques identifiés et accéder à des conseils de remédiation. Prevalent propose cette solution en tant que service géré pour permettre à votre équipe de se décharger de la collecte des données de réponse critiques afin qu'elle puisse se concentrer sur la remédiation des risques et l'accélération de la réponse pour atténuer les perturbations potentielles.
Prochaines étapes pour remédier à la vulnérabilité de Log4j
Utilisez ce questionnaire pour déterminer l'impact que la vulnérabilité Log4Shell pourrait avoir sur votre écosystème de fournisseurs. Ensuite, découvrez comment Prevalent peut vous aider en téléchargeant un livre blanc sur les meilleures pratiques ou en nous contactant pour une démonstration!
Note aux clients de Prevalent : Nous sommes en train de mettre à jour la plateforme Prevalent pour y inclure le questionnaire ci-dessus. L'équipe de cybersécurité de Prevalent a lancé un examen interne des systèmes, des applications et des fournisseurs au cours du week-end afin d'évaluer les vulnérabilités potentielles et de suivre les mesures d'atténuation et de remédiation. Nous fournirons des détails et des avis à nos clients au fur et à mesure que l'enquête se poursuivra. Pour plus d'informations, veuillez consulter notre portail d'assistance aux clients ou contacter votre responsable de la réussite des clients.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
