Plusieurs experts en cybersécurité ont publié des scanners gratuits pour aider les organisations à trouver des instances Log4j vulnérables.
La Cybersecurity and Infrastructure Security Agency (CISA), par exemple, a publié un scanner Log4j sur GitHub, basé sur une version antérieure construite par la société de sécurité FullHunt.
CISA a déclaré que cet outil recherche deux vulnérabilités, CVE-2021-44228 et CVE-2021-45046, et prend en charge le rappel DNS pour la découverte et la validation des vulnérabilités. Il fournit également une détection automatique des erreurs pour les paramètres de données HTTP POST, ainsi que les paramètres de données JSON.
Les experts en cybersécurité de Crowdstrike ont également publié un scanner similaire appelé CAST.
Les scanners sont défectueux
Cependant, les chercheurs ont averti qu'aucun de ces outils n'était parfait et qu'ils pourraient finir par perdre une vulnérabilité ou deux.
Yotam Perkal, responsable de la recherche au sein de la société de sécurité Rezilion, a analysé ces outils et publié les résultats dans un article de blog. Selon Perkal, de nombreux scanners ont raté certaines versions de la vulnérabilité.
"Le plus grand défi consiste à détecter Log4Shell dans les logiciels fournis dans des environnements de production : les fichiers Java (tels que Log4j) peuvent être imbriqués dans quelques couches à l'intérieur d'autres fichiers, ce qui signifie qu'une recherche rapide du fichier ne le trouvera pas", a écrit Perkal. . "De plus, ils peuvent être empaquetés dans de nombreux formats différents, ce qui crée un véritable défi pour creuser dans d'autres packages Java."
Perkal a testé un total de neuf scanners, et même si certains ont mieux fonctionné que d'autres, aucun n'a été en mesure d'identifier toutes les implémentations Log4j vulnérables.
"Cela nous rappelle également que les capacités de détection ne sont aussi bonnes que votre méthode de détection. Les scanners ont des angles morts", a conclu Perkal. «Les responsables de la sécurité ne peuvent pas supposer aveuglément que divers outils open source ou même de qualité commerciale seront capables de détecter tous les cas extrêmes. Et dans le cas de Log4j, il existe de nombreuses instances périphériques à de nombreux endroits. "
Log4Shell
Log4j est un enregistreur Java qui a récemment été découvert pour contenir une faille critique, qui pourrait permettre à des acteurs malveillants (même ceux avec de très faibles compétences) d'exécuter du code arbitraire sur des millions de points de terminaison et de les supprimer, les logiciels malveillants, les ransomwares et les mineurs de crypto.
Une enquête plus approfondie a révélé que Log4Shell, comme la faille est connue, est l'une des vulnérabilités de sécurité les plus graves de l'histoire récente. Jen Easterly, directrice de CISA, l'a qualifiée de "l'une des plus sérieuses" qu'elle ait vues de toute sa carrière, "sinon la plus sérieuse".
Jusqu'à présent, Apache a publié au moins trois correctifs pour Log4j depuis la découverte de la vulnérabilité, et les utilisateurs sont encouragés à mettre à jour immédiatement.
Via ZDNet