Log4Shell ne doit pas faire oublier les autres vulnérabilités critiques
De nombreuses organisations se concentrent sur la recherche et la correction de Log4Shell, mais d'autres vulnérabilités, notamment celles corrigées dans le Patch Tuesday de Microsoft, sont déjà activement exploitées.
Alors que les administrateurs informatiques s'efforcent de résoudre la très médiatisée Log4Shell, d'autres vulnérabilités potentiellement graves ont été révélées et pourraient être négligées.
Le battage médiatique autour de la vulnérabilité CVE-2021-4428 de la librairie de journalisation log4j a notamment eclipsé la publication du lot de correctifs de décembre. Las, sept vulnérabilités concernées par ces correctifs sont jugées critiques et ont reçu un score CVSS de 7 ou plus.
L'une de ces vulnérabilités, référencée CVE-2021-43890, est déjà activement exploitée par les pirates au manettes d’Emotet. Cette vulnérabilité, présente dans l'installateur Windows AppX, est exploité par le biais de pièces jointes vérolées dans des courriels de phishing.
En temps normal, de telles vulnérabilités constitueraient des priorités immédiates pour les administrateurs systèmes et les équipes de sécurité. Mais avec Log4Shell qui occupe tout l’espace médiatique et mobilise d’importantes quantités d’énergie, ces vulnérabilités critiques risquent d'être négligées.
Jake Baines, chercheur principal en sécurité chez Rapid7, a indiqué à nos collègues de SearchSecurity (groupe TechTarget) que dans de nombreux cas, les entreprises n'auront tout simplement pas assez de personnel ou de temps pour traiter à la fois la vulnérabilité de log4j et l’édition de décembre du Patch Tuesday : « tout le monde a une bande passante limitée et je sais que beaucoup se sont concentrés sur les problèmes de log4j ». Et de souligner que la période est « très chargée pour tout le monde ».
Pour Jake, Baines, le problème tient en partie à l'étendue de la portée de Log4j. L'outil de journalisation Java est largement utilisé et, dans de nombreux cas, les administrateurs ne sont même pas conscients de sa présence au sein leurs applications, sans parler de la possibilité d'y accéder et de l'exploiter à distance.
Et la gravité du problème et la difficulté à le traiter sont ainsi exacerbées : « en raison de l'endroit où réside la vulnérabilité et de la façon dont elle est exploitée, nous ne connaissons même pas l'ensemble des produits qui sont réellement exploitables ». En outre, « il y a un certain nombre de produits qui embarquent le code vulnérable mais qui ne sont pas exploitables ».
De son côté, Dustin Childs, responsable des communications de l'initiative Trend Micro Zero Day, relève que log4j laisse les entreprises avec un processus ouvert : « avec quelque chose comme le Patch Tuesday, il y a une ligne d'arrivée. Il y a un moment où vous pouvez aller voir votre patron et lui dire 'nous avons tout patché' ». Mais avec log4j, « nous ne pouvons pas dire cela ».
Las, relève Dustin Childs, si les dirigeants fixent leur attention sur des vulnérabilités très médiatisés comme Log4Shell, le réseau de leur propre organisation pourrait être plus sujet à des attaques conduites via l’exploitation d’autres vulnérabilités, y compris celles exposées lors du Patch Tuesday.
« L'un des problèmes les plus difficiles en tant que défenseur est d'expliquer à la direction quel est le risque », souligne Dustin Childs. La question sous-jacente est la suivante : « quel est notre risque à cet égard ? Les défenseurs doivent être capables d'expliquer les risques à leur entreprise ».