IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Six mois après la divulgation de la vulnérabilité Log4Shell, les instances vulnérables restent accessibles sur Internet et des personnes tentent de les exploiter
Selon un rapport de Trustwave

Le , par Sandra Coret

22PARTAGES

10  1 
À partir des données recueillies par le moteur de recherche de périphériques Shodan, le rapport montre qu'au 9 juin 2022, 1 467 instances étaient vulnérables à Log4Shell.

Ces instances vulnérables proviennent de la Fédération de Russie, des États-Unis et de l'Allemagne, avec 266 (18 %), 215 (15 %) et 205 (15 %) hôtes, respectivement.

Sur une note positive, le rapport montre que les entreprises sont susceptibles d'appliquer des correctifs à leurs systèmes en temps opportun, ou qu'elles sont plus conscientes de leur sécurité qu'elles ne l'étaient l'année dernière, certaines des vulnérabilités très graves sélectionnées pour ce rapport affectant moins de 10 % des hôtes échantillonnés par Shodan.

Le nombre de vulnérabilités critiques a augmenté de 5 % par rapport aux 13 % de l'année dernière et le nombre total de CVE pour 2022 devrait dépasser celui de l'année dernière.

Les auteurs du rapport concluent : "Les acteurs de la menace scrutent continuellement Internet pour prendre l'avantage sur les organisations dont les processus de correction sont lents ou obsolètes. Par conséquent, une approche proactive de l'identification des vulnérabilités est incroyablement importante. Savoir quelles sont les vulnérabilités, nouvelles et anciennes, qui doivent nous préoccuper, et agir au bon moment, sont deux facteurs critiques qui doivent être en place pour avoir une bonne posture de sécurité. Comme le montre ce rapport, de plus en plus d'organisations s'impliquent dans la protection de leurs actifs à mesure que des vulnérabilités critiques apparaissent dans le domaine public."


Pour améliorer la protection, le rapport recommande que le personnel de sécurité procède à un examen régulier des actifs au moyen d'audits, de scans et/ou de tests de pénétration, et qu'il donne la priorité à l'application de correctifs sur les systèmes clés. Les entreprises devraient également limiter l'accès aux systèmes et appliquer le principe du moindre privilège, et soutenir autant que possible les équipes de sécurité chargées de protéger et d'appliquer ces concepts.

Source : Trustwave

Et vous ?

Qu'en pensez-vous ?

Et vous ?

Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform

L'exploitation de Log4Shell se poursuit : plus de 30 000 scans signalés en janvier, la vulnérabilité continue de représenter une vaste menace malgré le correctif publié par la Fondation Apache

73% des organisations ont considérablement augmenté leurs efforts en matière de sécurité de la chaîne logistique logicielle, suite aux évènements Log4Shell, SolarWinds et Kaseya, selon Synopsys

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 09/09/2022 à 13:47
Qu'en pensez-vous ?

" Les entreprises devraient également limiter l'accès aux systèmes et appliquer le principe du moindre privilège, et soutenir autant que possible les équipes de sécurité chargées de protéger et d'appliquer ces concepts. "

Le problème récurrent étant que l'organe de décision exprime chez beaucoup d'entreprises :
"on veut de la sécurité, mais hors de question de débourser autant, hors de question que la mise en oeuvre prends autant de temps ...on veut de la sécu à pas cher, parce qu'on a décidé que ce serait suffisant pour l'instant." ...le "après" étant éternellement reporté par la suite.

Ce qu'il faut est simple : former ses équipes de sécurité, leur permettre un temps pour la veille, et leur donner les pouvoirs (de décision) pour agir sur le plan technique afin d'atteindre leur but. C'est ce que j'ai constaté dans la plupart des entreprises jusqu'à aujourd'hui, qui n'est que trop rarement appliqué.
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 10/04/2024 à 19:05
Tellement peu standards que les hyperviseurs VMWare non patchés sont vulnérables, exemple le plus connu pour moi.
1  0 
Avatar de vdaburon
Membre à l'essai https://www.developpez.com
Le 10/04/2024 à 18:00
Bonjour,
Concernant les vulnérabilités de log4j1.2.x, j'ai regardé les conditions pour exploiter les vulnérabilités.
Il s'agit de vulnérabilité sur les appenders (système d'écriture des logs) très peu utilisés comme écrire les logs directement en base de données JDBX, ou envoyé dans des files de message JMS ou via des connexions réseaux distantes.

Si on fait des logs dans des fichiers locaux de façon beaucoup plus classique pas de problème.

Je ne dis pas que ces vulnérabilités ne sont pas graves, je dis qu'elles ne sont pas pour des cas standards d'utilisation.

Et donc dire qu'il y a 4 vulnérabilités et donc que le risque est important n'est pas vrai.

C'est juste pour relativiser l'article sur les dangers de ne pas changer de version des librairies ayants des vulnérabilités.
Cordialement
Vincent DAB.
0  0