Le 10 décembre 2021, Apache a émis un avis de sécurité concernant une vulnérabilité d’exécution de code à distance dans Log4j. Log4j fait partie d’une bibliothèque de codes sources libres Java distincte du populaire serveur web Apache. Le logiciel est très utilisé par les entreprises pour faire le suivi des systèmes connectés à Internet, des applications web, des applications infonuagiques et autres. Connue sous le nom de CVE-2021-44228, la faille, si exploitée, peut permettre l’exécution de codes à distance sur des serveurs vulnérables, offrant aux pirates la possibilité d’introduire du code malveillant pour compromettre les dispositifs. Les médias confirment que des chaînes de code malveillant pouvant permettre l’exploitation de la faille sont utilisées dans le cyberespace. Pourquoi est-ce important? Compte tenu de l’utilisation répandue de la bibliothèque Log4j dans un vaste éventail de logiciels et de services et de la facilité avec laquelle la vulnérabilité peut être exploitée, sans surprise, les pirates recherchent activement des instances vulnérables de Log4j. On croit que des pirates ont pu exploiter cette vulnérabilité dès le 1er décembre 2021. Des rapports ont aussi confirmé qu’un certain nombre de réseaux d’ordinateurs zombies comme Mirai, Tsunami et Kinsing ont été adaptés pour exploiter la faille. Ce que vous pouvez faire Après avoir confirmé l’étendue des dispositifs et des applications connectés à Internet qui utilisent Log4j et qui sont touchés, le Centre canadien pour la cybersécurité suggère de mettre à niveau Log4j à la version 2.15.0 le plus rapidement possible. Si une mise à niveau immédiate n’est pas possible, suivez les mesures d’atténuation communiquées par Apache :
En présence de versions ultérieures à la version 2.10, établissez les propriétés du système log4j2.formatMsgNoLookups ou la variable d’environnement LOG4J_FORMAT_MSG_NO_LOOKUPS à true (vrai). · En présence de versions comprises entre les versions 2.7 et 2.14.1, tous les modèles PatternLayout peuvent être modifiés pour définir le convertisseur de message à %m{nolookups} au lieu de juste %m.
En présence de versions comprises entre les versions 2.0-beta9 et 2.10.0, la mesure consiste à retirer la catégorie JndiLookup du chemin : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
Certains fournisseurs des produits touchés ont diffusé des correctifs et des conseils sur la façon de corriger les lacunes dans leurs produits. Informez-vous auprès de vos fournisseurs de service pour obtenir ces conseils ou ces correctifs. Enfin, effectuez une analyse des vulnérabilités pour détecter les indices de compromission dans les registres de Log4j. Si vous découvrez des données compromises, suivez les processus habituels d’intervention en cas d’incident pour prendre les mesures correctives qui s’imposent.
Que fait TELUS ?
À l’heure actuelle, nous n’avons découvert aucun signe d’exploitation des systèmes de TELUS. Nos systèmes comptent de nombreuses lignes de défense pour contrer cette vulnérabilité, et nous travaillons à les renforcer. Nous examinons activement la situation dans nos systèmes et prendrons toute mesure corrective nécessaire selon les résultats de nos examens.
Nous sommes là pour vous aider !
Les membres de l’équipe nationale d’experts en cybersécurité sont à votre disposition pour gérer cette vulnérabilité. N’hésitez pas à communiquer avec eux si vous avez besoin d’aide pour effectuer une analyse des vulnérabilités des systèmes touchés, ou encore si vous avez découvert des données compromises ou que vous avez des questions sur la faille Log4j d’Apache.
Merci.
L'équipe d'Evolution Cloud