CVE-2021-44228 – Vulnérabilité Zero Day dans Apache Log4j permettant l'exécution de code à distance (RCE)
Une vulnérabilité critique d'exécution de code à distance (RCE) non authentifiée (CVE-2021-44228) a été signalée dans Log4j, une bibliothèque de journalisation open source. Akamai a travaillé directement avec ses clients pour déployer des règles de Web Application Firewall (WAF) au cours des dernières 24 heures afin de limiter l'exposition. Log4j est incorporée dans de nombreux frameworks populaires, ce qui rend son impact très large. La vulnérabilité est activement exploitée et, lorsque c'est le cas, elle permet à un acteur menaçant de mettre en œuvre du code arbitraire sur des systèmes exécutant des applications qui contiennent la bibliothèque.
La vulnérabilité touche plusieurs versions de Log4j et les applications qui en dépendent (notamment Apache Struts2, Apache Solr, Apache Druid, Apache Flink et bien d'autres). Il est conseillé aux administrateurs et aux développeurs d'applications de vérifier quelles sont les applications qui utilisent le package Log4j et, si la version du package se situe dans la plage vulnérable (versions 2.0 à 2.14.1 de Log4j), de procéder immédiatement à une mise à jour vers la version 2.16.0 ou ultérieure. La dernière version est déjà disponible sur la page de téléchargement Log4j.
Akamai a déployé une mise à jour de notre règle Apache existante afin d'inclure une protection pour ce CVE Zero Day. Cela inclut la mise à jour de la règle 3000014 pour l'ensemble de règles Kona d'Akamai ou le moteur Adaptive Security Engine (pour les clients utilisant le moteur de groupes d'attaque automatisés, nous avons mis à jour le groupe Injection de commande). Ce sont les moteurs utilisés dans les produits Kona Site Defender, Web Application Protector et App & API Protector d'Akamai. Tous les clients qui ont actuellement ces règles (ou groupes d'attaque) activées en mode DENY recevront une protection automatique en ligne pour les moteurs et versions de protection suivants :
Ensemble de règles Kona – Toute version datée du 29 octobre 2019 ou ultérieure
Groupes d'attaque automatisés – Toutes les versions
Adaptive Security Engine – Toutes les versions
Les serveurs hébergeant des applications ouvertes sur Internet peuvent déjà être compromis. Sur de nombreux systèmes, la commande suivante permet d'afficher les tentatives d'actions frauduleuses afin d'identifier les Indicateurs d'infection :
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
Nous recommandons à tous les utilisateurs de Log4j 2.0 à 2.14.1 d'effectuer une mise à jour dès que possible, mais lorsque cela n'est pas réalisable, les machines potentiellement vulnérables doivent limiter autant que possible les accès sortants. De multiples protocoles sortants peuvent être utilisés pour exploiter des systèmes vulnérables, de sorte que le blocage de ports sortants ou d'hôtes spécifiques peut ne pas être suffisant
Les clients d'Akamai équipés de Guardicore Centra, qui fait désormais partie de la suite de sécurité d'Akamai, peuvent exploiter la visibilité au niveau des processus de Centra pour identifier toutes les applications Java de leur réseau qui sont potentiellement à risque. Ils peuvent ensuite cartographier leur exposition et évaluer leur niveau de risque (services ouverts sur Internet, services d'infrastructure exposés à l'ensemble du centre de données, applications locales desservant un nombre limité d'utilisateurs et de machines) et appliquer des règles de segmentation de réduction des risques à réponse rapide jusqu'à ce qu'un correctif puisse être déployé.
