Log4 pose toujours problème, un an après sa découverte 

log4j

Log4Shell est celui qui apparaîtra dans les violations de données au cours de la prochaine décennie

Cette semaine marque le premier anniversaire de la découverte de la vulnérabilité Log4j/Log4Shell qui affecte la bibliothèque de journalisation Java. Et c'est que malgré un an qui s'est écoulé depuis l'incident, le nombre de téléchargements de versions vulnérables de Log4j est toujours élevé, puisqu'il a été calculé qu'environ 30 à 40 % de tous les téléchargements concernent la version exposée.

Comme récemment rapporté, de nombreuses organisations restent vulnérables même si des versions corrigées sont rapidement devenues disponibles.

Pour ceux qui ne sont pas conscients de la vulnérabilité, ils doivent savoir que est remarquable car l'attaque peut être menée sur des applications Java qui enregistrent les valeurs obtenues à partir de sources externes, par exemple en affichant des valeurs problématiques dans les messages d'erreur.

La vulnérabilité Log4j a été un signal d'alarme pour toutes les organisations et un moment que de nombreux professionnels de la sécurité aimeraient oublier. Cependant, avec l'utilisation généralisée de Log4j et un réseau croissant de serveurs internes et tiers pour les correctifs, la vulnérabilité se fera sentir pendant longtemps.

On observe que presque tous les projets utilisant des frameworks comme Apache Struts, Apache Solr, Apache Druid ou Apache Flink sont concernés notamment Steam, Apple iCloud, les clients et serveurs Minecraft.

Sonatype a produit un centre de ressources pour afficher l'état de vulnérabilité actuel, ainsi qu'un outil pour aider les entreprises à analyser leur code open source pour voir s'il est affecté.

Le tableau de bord montre le pourcentage de téléchargements Log4j qui sont encore vulnérables (actuellement autour de 34 % depuis décembre dernier). Il montre également les régions du monde qui ont connu le pourcentage le plus élevé de téléchargements vulnérables.

Brian Fox, CTO de Sonatype, déclare :

Log4j a été un rappel brutal de l'importance cruciale de la sécurisation de la chaîne d'approvisionnement des logiciels. Il a été utilisé dans pratiquement toutes les applications modernes et a affecté les services des organisations du monde entier. Un an après l'incident de Log4Shell, la situation reste sombre. Selon nos données, 30 à 40 % de tous les téléchargements de Log4j concernent la version vulnérable, même si un correctif a été publié dans les 24 heures suivant la divulgation prématurée de la vulnérabilité.

En plus de cela, il ajoute que c'est:

Il est impératif pour les organisations de reconnaître que la plupart des risques liés à l'open source incombent aux consommateurs, qui devraient adopter les meilleures pratiques plutôt que de blâmer le code défectueux. Log4j n'est pas un incident isolé : 96% des téléchargements de composants open source vulnérables avaient une version patchée.

Les organisations ont besoin d'une meilleure visibilité de chaque composant utilisé dans leurs chaînes d'approvisionnement logicielles. C'est pourquoi les solutions d'analyse de composition logicielle de qualité sont si importantes aujourd'hui alors que le monde envisage l'utilité des SBOM à l'avenir.

La politique britannique et européenne en matière de logiciels devrait exiger que les consommateurs commerciaux de logiciels libres soient en mesure d'effectuer l'équivalent d'un rappel spécifique, tout comme l'attendent les fabricants de biens physiques comme l'industrie automobile. La visibilité générale accordera des avantages supplémentaires aux organisations, telles que la capacité de prendre des décisions à ce sujet.

Comme nous allons il est devenu clair que les pirates continueraient à exploiter la vulnérabilité. En février, des pirates informatiques parrainés par l'État iranien ont utilisé la faille entrer dans un réseau du gouvernement américain, extraire illégalement de la crypto-monnaie, voler des informations d'identification et modifier des mots de passe. Puis, en octobre, un groupe associé au gouvernement chinois a utilisé la vulnérabilité pour lancer des attaques contre diverses cibles, dont un pays du Moyen-Orient et un fabricant d'électronique.

La vulnérabilité Log4j continue d'affecter les entreprises aujourd'hui. Il se classe systématiquement au premier ou au deuxième rang des rapports sur les menaces de différents cabinets de conseil en cybersécurité, affectant 41 % des organisations dans le monde en octobre 2022.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.