Début décembre 2021, une vulnérabilité « zero day » critique dans l’utilitaire Apache log4j a été publiée. L’exploit connu sous le nom de log4shell, permet l’exécution de code arbitraire sur les systèmes affectés, dont beaucoup comprennent des serveurs qui font partie de l’infrastructure et des services centraux de l’Internet.
Pour nos clients concernés par la vulnérabilité de log4j, nous comprenons que la sécurité de votre écosystème est cruciale pour votre succès, et que les rôles critiques de ces dispositifs signifient que toute menace est critique pour l’entreprise. Cependant, comme de nombreuses organisations sont déjà dans les phases de planification, de remédiation et/ou de surveillance, nous pensons qu’avec la bonne stratégie et les bonnes ressources, la remédiation est rapidement réalisable.
L’exploit log4shell exploite une vulnérabilité dans l’interface Java Naming and Directory (JNDI) pour effectuer des recherches à distance. Si une application repose sur des serveurs Web vulnérables à log4shell, le système d’exploitation sur lequel elle est exécutée n’a guère d’importance, car l’exploitation se produit du côté du serveur (et non du client).
Bien que la création d’une application utilisant log4j demande un effort important, vous devriez tout de même faire preuve de diligence raisonnable et vérifier auprès de votre équipe de développement interne et de vos fournisseurs de logiciels leur réaction à log4shell. Si vous rencontrez des difficultés pour contacter le représentant de votre fournisseur de logiciel, SQALogic peut aider vos clients à récupérer toute information associée à leurs outils logiciels d’assurance qualité, de performance et de test général.
Voici quelques-unes des recommandations de nos partenaires en matière de remédiation, ainsi que celles de certains fournisseurs bien connus de l’industrie du logiciel :
Dans le cadre de notre propre enquête, SQALogic a rapidement identifié et aidé les organisations à corriger un petit nombre d’outils vulnérables dans leurs infrastructures.
Nous continuerons à surveiller la situation de log4shell au fur et à mesure de son évolution.