Serveurs & Infrastructure

Log4J – Comment savoir si mes équipements sont impactés (Log4Shell)

Par Tutos-Info , le 14 décembre 2021 , mis à jour le 20 décembre 2021 - 3 minutes de lecture
logo fibre
4/5 - (4 votes)

La faille Log4J et son exploit Log4Shell  font la une des médias depuis le 9 décembre 2021.

Devant la multiplicité des cas et des équipements impactés voici quelques informations pour vous permettre de cibler rapidement si votre infrastructure est touchée par la faille.

En résumé Log4j c'est quoi ?

C'est une bibliothèque java utilisée pour la journalisation des logs dans les applications Java.

Beaucoup d'équipements font appels à la technologie Java comme certains routeurs, switch ou encore serveurs web.

Cette bibliothèque est associée également à l'application Apache qui est majoritairement utilisée pour faire tourner des applications Web.

Cette vulnérabilité est connue sous le nom de CVE-2021-44228 , elle permet aux pirates de prendre la main sur l'équipement  ou l'application !

Heureusement les développeurs ont publié une mise à jour de Log4J, vous devez donc absolument patcher vos machines en version 2.17.0

Pour avoir un résumé précis de l'exploit Log4Shell consultez la page dédiée du CERT-FR

Rapidement voici ce que permet l'exploit :

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification

Attention il faut absolument mettre à jour en version 2.17 (pas 2.15 ni 2.16) puisque des nouvelles failles log4j ont été détectées.

Mon équipement est t'il impacté ?

Très rapidement les constructeurs ont publiés des KB (des pages officielles) pour annoncés quelles applications et quels équipement sont impactés.

Un développeur SwitHak a publié une liste très très importante des KB elle est disponible à cette adresse :

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Maintenant à vous de faire les vérifications pour les différents constructeurs.

Certains ont publié des listes en indiquant au final "nous ne sommes pas impactés" soyez donc vigilant et réagissez rapidement pour corriger ou atténuer la faille.

log4shell exploit
Exemple du lien de la KB pour le constructeur CISCO.

La liste est mise à jour continuellement.

Enfin il est avéré que des Ransomwares sont entrain d'être déployés par le biais la faille, comme nous vous le révélons dans notre article sur le Ransomware Khonsari

Tutos-Info

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.