Vue d'ensemble

Cet article discutera des informations relatives à la vulnérabilité d'exécution de code à distance (RCE) de Log4j, et des étapes que Cato a prises pour s'assurer que nos clients restent protégés.

Cet article concerne CVE-2021-44228, qui a reçu un score CVSS de base de 10,0 (CRITIQUE)

Cato évalue actuellement l'impact que cette vulnérabilité a sur notre clientèle, et cet article sera mis à jour au fur et à mesure de l'évolution de la situation. 

Contexte et Impact

Une faille a été trouvée dans la bibliothèque de journalisation Java Apache Log4j 2 dans les versions de 2.0-beta9 à 2.14.1. Ceci pourrait permettre à un attaquant distant d'exécuter du code sur le serveur si le système enregistre une valeur de chaîne contrôlée par l'attaquant avec la recherche de serveur LDAP JNDI de l'attaquant.

Cet exploit permettrait aux attaquants d'exécuter du code malveillant sur des applications Java, et en tant que tel, il présente un risque significatif en raison de la prévalence de Log4j dans le parc logiciel mondial. 

Environnement

Ce problème semble uniquement affecter les versions de log4j entre 2.0 et 2.14.1. Pour exploiter cette faille, vous avez besoin de :

• Un point d'accès accessible à distance avec n'importe quel protocole (HTTP, TCP, etc.) qui permet à un attaquant d'envoyer des données arbitraires,
• Une déclaration de journalisation dans le point d'accès qui enregistre les données contrôlées par l'attaquant.

En raison de l'existence de JMS Appender, qui peut utiliser JNDI dans le log4j 1.x, il est possible que la version 1.x de log4j soit également affectée par cette vulnérabilité. L'impact est encore à l'étude par les chercheurs en sécurité. 

Que fait Cato ?

Les analystes de sécurité chez Cato Networks travaillent sans relâche pour identifier, localiser et atténuer toute vulnérabilité ou exposition potentielle de nos clients à cette menace. 

• 9 décembre 2021 : La communauté de sécurité a pris conscience des tentatives d'exploitation active dans le logiciel Apache Log4j.
• 10 décembre 2021 : Cato Networks a identifié la signature de trafic associée à cet exploit et a commencé à surveiller activement notre clientèle.
• 11 décembre 2021 : Nous avons mis en place une règle de blocage globale au sein de notre IPS pour tous les clients Cato afin d'atténuer cette vulnérabilité.

L'infrastructure Cato Cloud n'est pas considérée comme vulnérable à cet exploit pour le moment. 

Que dois-je faire ?

• Si vous avez activé l'IPS de Cato, nous bloquerons activement la signature de trafic de cette vulnérabilité automatiquement. Aucun correctif ou mise à jour de la plateforme Cato n'est nécessaire.
• Le Client SDP de Cato, Cato Sockets, Cato vSockets n'utilisent pas Apache Log4j.
• Il est recommandé que tout client utilisant des produits Apache suive le conseil continu du fournisseur.

Des événements IPS seront générés dans l'application de gestion Cato indiquant des actions de blocage pour ce CVE. Par exemple :

Cette situation évolue actuellement dans le paysage informatique, et Cato Networks surveille et enquête activement sur la situation pour s'assurer que nos clients restent protégés.