Les scanners Log4j à ressources ouvertes sont ci-dessous pour sauver la journée

Un certain nombre de spécialistes de la cybersécurité ont maintenant dévoilé des scanners totalement gratuits pour aider les organisations à entrevoir les scénarios Log4j vulnérables.

La Cybersecurity and Infrastructure Security Company (CISA), par exemple, a imprimé un scanner Log4j sur GitHub, centré sur un ancien modèle construit par la société de sécurité FullHunt.

CISA a signalé que cette ressource analyse deux vulnérabilités – CVE-2021-44228 et CVE-2021-45046 – et fournit une assistance pour le rappel DNS pour la découverte et la validation des vulnérabilités. Il fournit également une détection de bogue informatisée pour les paramètres d’informations d’écriture HTTP, ainsi que les paramètres de faits JSON.

Les professionnels de la cybersécurité de Crowdstrike ont également publié un scanner comparable appelé Cast.

Les scanners ont des défauts

Néanmoins, les chercheurs ont averti qu’aucune de ces applications n’est excellente et qu’elles pourraient manquer une ou deux vulnérabilités.

Yotam Perkal, responsable de l’enquête à l’organisation de sécurité Rezilion, a analysé ces ressources et publié les résultats dans un article de blog. Selon Perkal, de nombreux scanners ont raté certaines versions de la vulnérabilité.

« Le plus grand obstacle réside dans la détection de Log4Shell dans un logiciel packagé dans des environnements de fabrication : les documents Java (comme Log4j) peuvent être imbriqués à plusieurs niveaux dans d’autres fichiers, ce qui implique qu’une recherche superficielle du fichier ne le découvrira jamais. “, a écrit Perkal. “En outre, ils pourraient être emballés dans de nombreux formats différents, ce qui pose un véritable problème pour les creuser dans d’autres offres Java.”

Perkal a analysé un total de 9 scanners, et lorsque certains ont été améliorés par rapport à d’autres, aucun n’a été capable de déterminer tous les déploiements Log4j susceptibles.

« Cela nous rappelle également que les talents de détection ne valent que par votre méthode de détection. Les scanners ont des angles morts », a conclu Perkal. « Les responsables de la stabilité ne peuvent pas présumer aveuglément que différents instruments d’approvisionnement ouvert ou même de qualité industrielle seront équipés pour détecter chaque cas limite. Et dans le scénario de Log4j, il y a beaucoup de cas limites dans plusieurs domaines. »

Log4Shell

Log4j est un enregistreur Java qui vient d’être appris à conserver une faille essentielle, qui pourrait permettre à des acteurs malveillants (même ceux avec des capacités assez minimes) d’exécuter du code arbitraire sur des centaines de milliers de points de terminaison et d’éliminer les logiciels malveillants, les ransomwares et les cryptomineurs.

Une enquête encore plus approfondie a révélé que Log4Shell, comme la faille est surnommée, est l’une des vulnérabilités de sécurité les plus importantes dans le dernier contexte. Jen Easterly, directrice de CISA, l’a expliqué comme « l’une des plus sérieuses » dont elle ait été témoin dans sa vocation globale, « sinon la plus sérieuse ».

De manière significative, Apache a publié au moins quelques correctifs pour Log4j depuis la découverte de la faille, et les utilisateurs sont invités à mettre à jour rapidement.

En utilisant ZDNet