CVE-2021-45046, CVE-2021-44228 Détection : Vulnérabilités dans la bibliothèque Java Log4j
Table des matières :
Encore une nouvelle migraine pour les équipes SOC — attention à la vulnérabilité Log4j la plus chaude CVE-2021-45046 ! Le monde de la cybersécurité vient d’être secoué par un nombre croissant de tentatives d’exploitation pour CVE-2021-44228, une vulnérabilité critique zero-day affectant la bibliothèque de journalisation Java Apache Log4j, tandis qu’une autre faille RCE Log4j de haute gravité suivie sous le nom de CVE-2021-45046 fait son apparition.
Description CVE-2021-45046
La dernière vulnérabilité CVE-2021-45046 a été découverte un jour après la sortie de la version Log4j 2.16.0 le 14 décembre, recevant un score CVSS de 3,7. Plus tard, en raison des risques fortement évalués qu’elle pose, elle a reçu une note d’impact critique de sécurité avec un score considérablement augmenté à 9,0. Selon la notification de l’Apache Software Foundation, la nouvelle vulnérabilité découverte affecte toutes les versions de Log4j de 2.0-beta9 à 2.15.0 (à l’exclusion de 2.12.2).
Log4Shell (CVE-2021-44228) Description
Une autre vulnérabilité zero-day notoire qui a été découverte pour la première fois dans Log4j, connue sous le nom de Log4Shell or LogJam, est un problème d’exécution de code à distance non authentifié permettant une compromission complète du système. La faille est extrêmement facile à exploiter, et avec de nombreuses PoCs se propageant en ligne, cela devient une simple affaire pour les adversaires. En conséquence, les hackers peuvent lancer des attaques d’exécution de code à distance pour prendre le contrôle total du serveur affecté.
L’analyse de CVE-2021-44228 montre que tous les systèmes exécutant Log4j 2.0-beta9 jusqu’à 2.14.1 sont vulnérables. De plus, puisque le problème de sécurité impacte les configurations par défaut de la plupart des frameworks Apache, tels que Apache Struts2, Apache Solr, Apache Druid, Apache Flink, une large gamme de logiciels et d’applications web utilisés à la fois par les entreprises et les utilisateurs individuels sont exposés aux attaques.
L’équipe de sécurité d’Alibaba Cloud a d’abord repéré et signalé la vulnérabilité à Apache fin novembre 2021. Notamment, elle a été initialement identifiée sur des serveurs liés à Minecraft, où des adversaires ont tenté d’exécuter du code malveillant sur des clients exécutant la version Java du jeu extrêmement populaire. Après que la cause du problème ait été identifiée dans Log4j, des exemples de code d’exploitation ont rapidement commencé à apparaître en ligne.
Actuellement, les experts en sécurité signalent des analyses à l’échelle d’Internet pour les systèmes vulnérables. De plus, le CERT Nouvelle-Zélande a alerté sur de multiples exploitations en cours.
CVE-2021-44228 : Détection RCE Log4j
Tous les utilisateurs utilisant des versions vulnérables de Log4j devraient mettre à jour à log4j-2.15.0-rc1 dès que possible. De plus, il est conseillé aux organisations de surveiller toute activité malveillante associée à CVE-2021-44228 et de rechercher des anomalies prouvant qu’elles ont été compromises. Pour améliorer la détection rapide des attaques, l’équipe SOC Prime a créé un ensemble de règles Sigma dédiées. Les professionnels de la sécurité peuvent télécharger les règles depuis la plateforme Detection as Code de SOC Prime :
Log4j RCE [CVE-2021-44228] Modèles de détection d’exploitation (via serveur web)
Cette détection contient des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix, et Open Distro.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’accès initial avec l’exploitation d’une application exposée au public comme technique principale (T1190).
Log4j RCE [CVE-2021-44228] Modèles de détection d’exploitation (via proxy)
Log4j RCE [CVE-2021-44228] Modèles de détection d’exploitation (via mots-clés)
Pour aider les organisations à rester constamment vigilantes, l’équipe SOC Prime a récemment publié la dernière règle basée sur Sigma pour détecter les tentatives d’exploitation potentielles de CVE-2021-44228. Cette règle détecte les modèles d’exploitation Log4j possibles basés sur les journaux de proxy et le téléchargement d’un fichier de classe Java malveillant menant à la création d’un shell bash inversé :
Chargement possible de fichier de classe Java distant malveillant [Log4j/CVE-2021-44228] (via proxy)
CVE-2021-45046 Détection et Atténuation
Tous les utilisateurs utilisant Java 8 ou une version ultérieure devraient mettre à jour vers la dernière version Log4j 2.16.0, car les atténuations précédentes dans Apache Log4j 2.15.0 se sont avérées incomplètes. Pour aider les organisations à détecter CVE-2021-45046 et minimiser les risques de tentatives d’exploitation, l’équipe SOC Prime a récemment publié une règle dédiée basée sur Sigma qui identifie les modèles d’exploitation Log4j et les entrées de journal dans tous les fichiers de journal disponibles.
Log4j [CVE-2021-45046] Modèles de Détection d’Exploitation (via mots-clés)
Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour détecter les dernières menaces dans votre environnement de sécurité, améliorer votre source de journal et la couverture MITRE ATT&CK, et augmenter le retour sur investissement de votre organisation en matière de cybersécurité. Les experts en sécurité peuvent également rejoindre notre Threat Bounty Program pour monétiser leur propre contenu de détection.
