IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Trois organisations sur quatre sont encore vulnérables à Log4Shell malgré des améliorations : 2,5 % des actifs restent vulnérables en octobre 2022
Contre 10 % en décembre 2021, d'après Tenable

Le , par Sandra Coret

4PARTAGES

7  0 
La vulnérabilité Log4j ou Log4Shell a fait la une de l'actualité en décembre 2021, provoquant des remous dans le monde de la cybersécurité. Il est donc normal de penser qu'elle n'est plus une menace. Cependant, un an plus tard, un an plus tard, il semble que ce soit une vulnérabilité qui continue à être vulnérable.

Une nouvelle étude de Tenable, basée sur des données collectées à partir de plus de 500 millions de tests, montre que 72 % des organisations restent vulnérables à Log4Shell en octobre de cette année.

L'analyse de la télémétrie de Tenable a révélé qu'un actif sur 10 était vulnérable à Log4Shell en décembre 2021, y compris un large éventail de serveurs, d'applications web, de conteneurs et d'appareils IoT. En octobre 2022, les données ont montré des améliorations, avec 2,5 % des actifs vulnérables. Pourtant, près d'un tiers (29 %) de ces actifs présentaient des récurrences de Log4Shell après la réalisation d'une remédiation complète.

"Il est très difficile d'obtenir une correction complète d'une vulnérabilité aussi répandue et il est important de garder à l'esprit que la correction des vulnérabilités n'est pas un processus unique", déclare Bob Huber, directeur de la sécurité chez Tenable. "Bien qu'une organisation ait pu être entièrement corrigée à un moment donné, elle est susceptible de rencontrer à nouveau Log4Shell au fur et à mesure qu'elle ajoute de nouveaux actifs à ses environnements. L'éradication de Log4Shell est une bataille permanente qui demande aux organisations d'évaluer continuellement leurs environnements pour détecter cette faille, ainsi que d'autres vulnérabilités connues."


Certains secteurs s'en sortent mieux que d'autres, l'ingénierie (45 %), les services juridiques (38 %), les services financiers (35 %), les organisations à but non lucratif (33 %) et les administrations publiques (30 %) étant en tête du peloton avec le plus grand nombre d'organisations entièrement remédiées. Environ 28 % des organisations d'infrastructures critiques définies par la CISA sont également entièrement remédiées.

Les organisations d'Amérique du Nord sont les plus susceptibles d'avoir entièrement remédié à Log4j (28 %), suivies par l'Europe, le Moyen-Orient et l'Afrique (27 %), l'Asie-Pacifique (25 %) et l'Amérique latine (21 %). L'Amérique du Nord est également la première région pour le pourcentage d'organisations qui ont partiellement remédié à la situation (90 %) par rapport à l'Europe, le Moyen-Orient et l'Afrique (85 %), l'Asie-Pacifique (85 %) et l'Amérique latine (81 %).

Source : Tenable

et vous ?

Qu'en pensez-vous ? trouvez-vous cette étude pertinente ?
Qu'en est-il dans votre organisation ?

Voir aussi :

Un nouveau groupe de travail sur la cybersécurité affirme que la faille du logiciel Log4j est "endémique", et qu'elle pourrait poser des risques de sécurité pendant une décennie ou plus

Six mois après la divulgation de la vulnérabilité Log4Shell, les instances vulnérables restent accessibles sur Internet et des personnes tentent de les exploiter, selon un rapport de Trustwave

Les 10 principales cibles attaquables par Log4j, qui continue d'être un problème pour les entreprises*: VMWare Horizon est en tête, suivie de Jamf et PingFederate, selon une étude de Randori

Des sénateurs présentent une législation bipartisane visant à renforcer la sécurité des logiciels libres, suite à une audition organisée sur l'incident Log4j

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 10/04/2024 à 19:05
Tellement peu standards que les hyperviseurs VMWare non patchés sont vulnérables, exemple le plus connu pour moi.
1  0 
Avatar de vdaburon
Membre à l'essai https://www.developpez.com
Le 10/04/2024 à 18:00
Bonjour,
Concernant les vulnérabilités de log4j1.2.x, j'ai regardé les conditions pour exploiter les vulnérabilités.
Il s'agit de vulnérabilité sur les appenders (système d'écriture des logs) très peu utilisés comme écrire les logs directement en base de données JDBX, ou envoyé dans des files de message JMS ou via des connexions réseaux distantes.

Si on fait des logs dans des fichiers locaux de façon beaucoup plus classique pas de problème.

Je ne dis pas que ces vulnérabilités ne sont pas graves, je dis qu'elles ne sont pas pour des cas standards d'utilisation.

Et donc dire qu'il y a 4 vulnérabilités et donc que le risque est important n'est pas vrai.

C'est juste pour relativiser l'article sur les dangers de ne pas changer de version des librairies ayants des vulnérabilités.
Cordialement
Vincent DAB.
0  0