De nombreux experts en cybersécurité ont maintenant publié des scanners gratuits pour aider les organisations à rechercher des instances Log4j vulnérables.
La Cybersecurity and Infrastructure Security Agency (CISA), par exemple, a publié un scanner Log4j sur GitHub, basé sur une version précédente construite par la société de sécurité FullHunt.
CISA a déclaré que cet outil recherche deux vulnérabilités – CVE-2021-44228 et CVE-2021-45046 – et prend en charge le rappel DNS pour la découverte et la validation des vulnérabilités. Il fournit également une détection automatique des bogues pour les paramètres de données HTTP POST, ainsi que les paramètres de données JSON.
Les experts en cybersécurité de Crowdstrike ont également publié un scanner similaire appelé CAST.
Les scanners ont des défauts
Cependant, les chercheurs ont averti qu’aucun de ces outils n’est parfait et peut finir par manquer une ou deux vulnérabilités.
Yotam Perkal, responsable de la recherche au sein de la société de sécurité Rezilion, a analysé ces outils et publié les résultats dans un article de blog. Selon Perkal, de nombreux scanners ont raté certaines versions de la vulnérabilité.
« Le plus grand défi réside dans la détection de Log4Shell dans les logiciels packagés dans les environnements de production : les fichiers Java (tels que Log4j) peuvent être imbriqués quelques couches profondément dans d’autres fichiers, ce qui signifie qu’une recherche superficielle du fichier ne le trouvera pas », a écrit Perkal. « En outre, ils peuvent être conditionnés dans de nombreux formats différents, ce qui crée un véritable défi pour les creuser dans d’autres packages Java. »
Perkal a testé un total de neuf scanners, et même si certains ont mieux fonctionné que d’autres, aucun n’a été en mesure d’identifier tous les déploiements Log4j vulnérables.
« Cela nous rappelle également que les capacités de détection sont aussi bonnes que votre méthode de détection. Les scanners ont des angles morts », a conclu Perkal. « Les responsables de la sécurité ne peuvent pas supposer aveuglément que divers outils open source ou même de qualité commerciale seront capables de détecter chaque cas périphérique. Et dans le cas de Log4j, il existe de nombreuses instances périphériques à de nombreux endroits. »
Log4Shell
Log4j est un enregistreur Java qui a récemment été découvert pour contenir une faille critique, qui pourrait permettre à des acteurs malveillants (même ceux avec très peu de compétences) d’exécuter du code arbitraire sur des millions de points de terminaison et d’éliminer les logiciels malveillants, les ransomwares et les cryptomineurs.
Une enquête plus approfondie a révélé que Log4Shell, comme la faille est surnommée, est l’une des vulnérabilités de sécurité les plus graves de l’histoire récente. Jen Easterly, directrice de CISA, l’a décrit comme « l’un des plus sérieux » qu’elle ait vu de toute sa carrière, « sinon le plus sérieux ».
Jusqu’à présent, Apache a publié au moins trois correctifs pour Log4j depuis la découverte de la faille, et les utilisateurs sont invités à mettre à jour immédiatement.
Via ZDNet