Serveurs & Infrastructure

Log4j – Deux nouvelles failles suite à la mise à jour 2.15.0

Par Tutos-Info , le 20 décembre 2021 - 3 minutes de lecture
logo fibre
5/5 - (2 votes)

Les problèmes s'enchainent avec la bibliothèque Log4J. Pour rappel si vous voulez savoir si vos équipement sont impactés par cette faille, nous avons publié un article complet sur l'exploit log4shell 

Autre fait marquant , des Ransomwares exploitent activement les failles Log4Shell.

Evidemment les Administrateurs Systèmes ont patché la faille grâce à une mise à jour de la bibliothèque 2.15.0, malheureusement ça ne suffit pas.

Jamais deux sans trois

La mise à jour de la bibliothèque devait patcher les failles. Une nouvelle faille importante a été détectée, résultat une mise à jour 2.16 a été publiée.

Cependant à nouveau des failles d'une criticité importante ont été à nouveau détectées.

Voici ce que affirme Apache :

« Les versions 2.0-alpha1 à 2.16.0 d'Apache Log4j2 ne protégeaient pas contre la récursivité incontrôlée des recherches auto-référentielles. Lorsque la configuration de la journalisation utilise une disposition de modèle autre que celle par défaut avec une recherche de contexte (par exemple, $${ctx:loginId}), les attaquants contrôlant les données d'entrée de Thread Context Map (MDC) peuvent créer des données d'entrée malveillantes contenant une recherche récursive, ce qui entraîne une StackOverflowError qui mettra fin au processus. Ceci est également connu sous le nom d'attaque DOS (Denial of Service) ».

Le dernier correctif Log4j 2.17.0 est donc à déployer en urgence pour patcher vos équipements et vos applications !

Il faut espérer ensuite que pas d'autres failles critiques soient détectées.

Fail2ban à la rescousse

Pour ceux qui utilisent le pare-feu Fail2Ban il est possible de bloquer les attaques Log4J.

Jay Caines-Gooby a publié sur son site une règle fail2ban qui détecte et qui bannit immédiatement les IPs tentant d'exploiter la faille Log4J

Pour ajouter la règles dans votre configuration voici la procédure :

Modifier le fichier jail.local qui se trouve ici /etc/fail2ban/jail.local

Ajoutez les informations suivantes :

[log4j-jndi]
maxretry = 1
enabled = true
port = 80,443
logpath = /path/to/your/*access.log

Créer ensuite le fichier log4j-indi.conf dans le répertoire suivant :

/etc/fail2ban/filter.d/log4j-jndi.conf

Puis il faut ajouter le code suivant dans le fichier log4j-indi.conf qui permet d'utiliser une expression régulière :

[Definition]
failregex   = (?i)^<HOST> .* ".*$.*(7B|{).*(lower:)?.*j.*n.*d.*i.*:.*".*?$
Bravo vous bloquer les attaques Log4j sur votre machine !

Tutos-Info

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.