Pourquoi vos informaticiens sont-ils si malheureux ? Log4j2itis

Au lieu de toasts de vacances, entendez-vous des cris et des gémissements dans votre salle de serveur ? Vos informaticiens sanglotent-ils de façon inconsolable même quand Amazon Web Services (AWS) est en cours d’exécution? Marchez-vous sur des administrateurs système et des développeurs endormis lorsque vous arrivez au bureau ?

Si cela vous arrive, laissez-moi vous expliquer ce qui se passe. Vos informaticiens — un parcelle des informaticiens – souffrent de Log4j2itis.

Vous avez peut-être vu des nouvelles générales à ce sujet au cours des deux dernières semaines, car même les sources d’informations générales retiennent que c’est une mauvaise nouvelle. Comme Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), l’a déclaré : « La La vulnérabilité Log4j est la vulnérabilité la plus grave J’ai vu au cours de mes décennies de carrière. »

J’y suis depuis plus longtemps qu’elle et dans mon jamais très humble Avis sur Twitter, « #Log4Shell peut, sans exagération, être le pire informatique #Sécurité problème de notre génération. »

Cela semble vraiment effrayant, parce que c’est vraiment effrayant. Mais qu’est ce que c’est exactement? Pour le côté de l’histoire qui vous oblige à avoir des mots comme « sécurité », « administrateur système » ou « développeur » dans votre titre, j’ai les détails laids dans mon article sur la nouvelle pile : « Log4Shell: Nous sommes tellement en difficulté. »

Si vous êtes un mortel ordinaire, voici ce qui se passe et pourquoi c’est une douleur si importante à gérer.

Apache Log4j2 est une bibliothèque de journalisation Java open source extrêmement populaire. Si votre programme Java enregistre, eh bien, à peu près n’importe quoi, du nom de l’utilisateur au nombre de fois qu’il appelle un autre programme pour obtenir de l’aide, il y a de fortes chances qu’il utilise Log4J2 pour faire le travail.

C’était bien. C’était dandy. Tout le monde était heureux. Mais, il y a quelques semaines, les enquêteurs de la sécurité ont découvert que si vous pouviez lui faire enregistrer une ligne de code malveillant, de mauvaises choses se produiraient. Quel mauvais? Il a un « parfait » Système commun de notation des vulnérabilités (CVSS) score de 10 sur 10. C’est une faille de sécurité aussi grave qu’il puisse y en avoir.

Si l’un de vos programmes contient une version vulnérable de Logj42, il peut être bombardé par une attaque de faille d’exécution de code à distance. En cas de succès, un attaquant peut faire n’importe quoi de jouer à Doom sur vos serveurs (sérieusement) d’infecter chaque boîte de votre réseau avec le botnet Mirai pour vous raidir avec un ransomware. Oh et les pirates parrainés par le gouvernement utilisent désormais également la vulnérabilité Log4j. Il suffit de demander au Le ministère belge de la Défense, qui se remettait encore d’un attentat juste la semaine dernière.

Quels pourraient être ces programmes ? Bonne question. Des milliers de programmes commerciaux largement utilisés sont attaquables. Ceux-ci incluent Apple iCloud; de nombreux programmes Cisco ; Client et serveur Minecraft ; Fumer; Twitter; et de nombreux programmes VMware.

Et, si votre équipe ou vos éditeurs de logiciels indépendants (ISV) ont écrit vos programmes avec des composants logiciels tels qu’Apache Druid, Dubbo, Flink, Flume, Hadoop, Kafka, Solr, Spark et Struts, ils pourraient également être attaqués. C’est une faille de sécurité qui ne cesse de donner et de donner.

La bonne nouvelle est qu’il existe un correctif, trois correctifs en fait, pour les vulnérabilités Log4j2. La version courte est si vous mettez à jour chaque copie de cette bibliothèque de logiciels en difficulté pour log4j 2.17.0, tout ira bien.

Ouais, c’est le hic. Vous devez mettre à jour tous le dernier d’entre eux. Et voici la partie vraiment pas si bonne. Log4j est caché dans des millions de programmes. Sans un nomenclature logicielle (SBOM) pour chaque application, vous ne pouvez pas être sûr de les trouver toutes. Et SBOM est un nouveau concept. Personne ne les faisait l’année dernière, encore moins il y a sept ans, lorsque Logj42 est sorti pour la première fois.

Vous devez donc les rechercher. Et, parce que les programmes Java cachent leur code dans des structures de poupées russes telles que les fichiers d’archive Java (JAR), trouver le programme qui a besoin d’être corrigé peut être très difficile. Il existe des outils, comme le CISA CVE-2021-44228_scanner, qui facilitent la vie de votre équipe de sécurité et de développement, mais c’est quand même beaucoup de travail.

Imaginez que quelqu’un vous demande de trouver toutes les références que vous avez faites dans des documents adressés à votre PDG depuis 2014… sans outils de recherche de texte faciles à utiliser. Ce serait un cauchemar, non ? Maintenant, imaginez que si vous ne le trouvez pas, l’infrastructure informatique de votre entreprise s’effondrera dans un gâchis horrible.

Alors, soyez gentil avec votre personnel informatique. Au lieu de boire un verre de champagne pour le réveillon du Nouvel An, ils continueront probablement à traquer et à nettoyer ce gâchis. Cela ne va pas se terminer rapidement et il y aura de nombreuses autres attaques connexes à repousser avant que tout ne soit terminé.

Bonne année?