Vulnerability CVE-2021-44228
Suite à la faille Agache Log4j2, Nomios recense en une seule page les communications de nos partenaires.
ATTENTION, la plupart des partenaires sont encore en train d'analyser leurs impacts. L'articles sera tenu à jour au fur et à mesure des évolutions.
CVE-2021-44228
Le 9 décembre 2021, une vulnérabilité d'exécution de code à distance (RCE) dans Apache log4j 2 a été identifiée comme étant exploitée dans la nature.
Un code public de Proof of Concept (PoC) a été publié et une enquête ultérieure a révélé que l'exploitation était incroyablement facile à réaliser.
En soumettant une requête spécialement conçue à un système vulnérable, en fonction de la configuration du système, un attaquant peut demander à ce système de télécharger puis d'exécuter une charge utile malveillante.
La découverte de cet exploit étant très récente, de nombreux serveurs, tant sur site que dans des environnements en nuage, n'ont pas encore été corrigés.
Comme pour de nombreux exploits RCE de haute gravité, jusqu'à présent, une activité massive de scan pour CVE-2021-44228 a commencé sur Internet avec l'intention de rechercher et d'exploiter les systèmes non patchés. Nous recommandons vivement aux organisations de mettre à jour tous leurs systèmes vers la dernière version (2.15.0-rc2) d'Apache log4j 2.
Merci de consulter chaque lien de nos partenaires :
Liste des produits impactés en général (attention à jour au 12/12/2021 22h04UTC)
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Apache
https://logging.apache.org/log4j/2.x/
Cisco
FAQ Cisco : https://tools.cisco.com/security/center/resources/prod_svc_info_log4j.html
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
Talos recommande de mettre à jour tous les systèmes vers la dernière version (2.15.0) d'Apache log4j 2. D’autres actions de migitation sont également proposées dans le post du blog Talos relatif à cette CVE si la mise à jour Log4j n’est pas possible
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
Cybereason
Pas de produit impacté : https://www.cybereason.com/blog/cybereason-solutions-are-not-impacted-by-apache-log4j-vulnerability-cve-2021-44228
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
Efficient IP
Solid server n'utilise pas Log4j et n'est donc pas impacté par cette faille.
https://www.efficientip.com/solidserver-not-impacted-by-log4j-security-vulnerability/
F5 Networks
Seul "Traffix SDC" est encore en vérification, tous les autres produits F5 ne sont pas vulnérables.
https://support.f5.com/csp/article/K19026212
Fortinet
https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
Forescout
https://www.forescout.com/blog/forescout%E2%80%99s-response-to-cve-2021-44228-apache-log4j-2/
Imperva
Statistiques de scans constatés : https://www.imperva.com/blog/how-were-protecting-customers-staying-ahead-of-cve-2021-44228/
Liste des produits concernés : Log4j2 vulnerability cve 2021 44228 12 13 2021
Juniper
Des produits pourraient être vulnérables : https://kb.juniper.net/InfoCenter/index?page=content&id=S:JSA11259
Si un client a une preuve d’exploitation d’un produit Juniper, il faut immédiatement prendre contact avec l’équipe SIRT (notre support peu le faire pour vous) : [email protected]
Une signature IDP a également été publiée, présente dans le Sigpack 3444 : https://threatlabs.juniper.net/home/search/#/list/ips?keyword=log4j*&page_number=1&page_size=20
McAfee
https://kc.mcafee.com/corporate/index?page=content&id=KB95091
Netskope
Aucune vulnérabilité recensée sur les services exposés :
Nécessite d'avoir un compte sur le support Netskope :
Noname Security
Pas d'impact sur les solutions.
https://nonamesecurity.com/blog/log4j-vulnerability-apis-causing-massive-risk-exposure
Palo Alto Networks
Les solutions Palo Alto Networks non impactées : https://security.paloaltonetworks.com/CVE-2021-44228
Comment se prémunir sur les systèmes impactés : https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
Pulse Secure (Ivanti)
Aucun système impacté : https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44933/
Radware
https://support.radware.com/app/answers/answer_view/a_id/1029752
Riverbed
Certains produits sont vulnérables, d'autres encore sous investigation.
https://supportkb.riverbed.com/support/index?page=content&id=S35645&actp=LIST_RECENT
Splunk
Méthode pour détecter la RCE Log4j2 : https://www.splunk.com/en_us/blog/security/log-jammin-log4j-2-rce.html
Stormshield
https://www.stormshield.com/fr/actus/alerte-securite-log4shell-la-reponse-des-produits-stormshield/
VMWare
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
XM Cyber
https://www.xmcyber.com/xm-cyber-advisory-log4shell-cve-2021-44228/
Zscaler
Zscaler était impacté par cette CVE, et ils ont corrigé ce week-end la potentielle faille sur l’ensemble de leurs datacenters : https://trust.zscaler.com/posts/9581
La correction de la CVE est intégrée dans les algorithmes de Sandbox / ATP pour une détection avancée chez les clients (licences sandbox advanced et/ou ATP nécessaires) :