Cela fait plus de 18 mois que la vulnérabilité de log4j a envoyé des ondes de choc dans la communauté de la cybersécurité, mais des rapports récents indiquent qu'un pourcentage stupéfiant de 40 % des téléchargements de log4j sont toujours vulnérables à l'exploitation et que 72 % des organisations sont toujours vulnérables à log4j, au 1er octobre 2022. Rien qu'en mai 2023, notre plateforme cloud distribuée F5 a contribué à protéger les clients contre plus d'un million de tentatives d'attaques log4j, qui ont été atténuées avec succès par les capacités de protection des applications Web et des API.
Il s’agit simplement d’un exemple de CVE mettant en évidence les défis qui persistent alors que les organisations ont du mal à suivre le rythme de la gestion des mesures correctives CVE, et c’est un problème qui ne va faire que s’aggraver. Le nombre de CVE publiés s’accélère et F5 Labs s’attend à ce que le rythme auquel de nouveaux CVE seront publiés au cours d’une semaine typique atteigne 500 par semaine d’ici 2025. Cela fait presque 2 ans que la vulnérabilité de log4j a été exposée, et les organisations sont toujours en train de rattraper leur retard alors que le problème plus large continue d'évoluer. Malgré la disponibilité des correctifs et des mises à jour, de nombreux facteurs contribuent à des vulnérabilités persistantes comme log4j.
Le nombre et la fréquence élevés de nouvelles vulnérabilités obligent les organisations à lutter pour suivre le rythme, souvent sans en être pleinement conscientes, faute d’informations ou de ressources suffisantes pour rester à jour des nouvelles alertes. Dès qu’une vulnérabilité est détectée, corriger les systèmes concernés devient complexe, surtout dans les grandes structures aux systèmes interconnectés, nécessitant un effort important et une coordination soignée, ce qui prolonge les cycles de déploiement des correctifs. Le mélange d’infrastructures, systèmes et applications à la fois hérités et modernes accroît cette complexité, engendrant des problèmes de compatibilité, des coûts élevés et des contraintes de temps difficiles à gérer lors de l’application des mises à jour critiques. Par ailleurs, les dépendances indirectes liées aux processus complexes de correction et de mise à jour dans les chaînes logicielles ou composants d’infrastructure représentent un risque souvent invisible, même si vous n’utilisez pas directement le système vulnérable. À l’image du code logiciel, les erreurs humaines et les oublis ralentissent aussi la réponse, car développeurs ou administrateurs peuvent passer à côté de l’application de correctifs ou mal configurer les systèmes. Enfin, dans les infrastructures IT sophistiquées ou culturels entreprises prudentes, les exigences de tests approfondis, la crainte des interruptions ou les priorités concurrentes freinent l’adoption rapide des correctifs. Pour compliquer encore davantage, la majorité des structures manquent de personnel, surtout côté sécurité. Alors comment suivre le rythme tout en travaillant intensément à corriger et mettre à jour vos systèmes et applications ?
Les correctifs sont appliqués, mais souvent (comme dans ce cas avec log4j) ils ne se produisent pas assez rapidement et de nouveaux CVE sont rapidement identifiés. Il est donc essentiel que les organisations disposent d'une couche de sécurité complète devant leurs applications, quel que soit leur degré de correction et de mise à jour. La protection des applications internes et Web avec une solution telle que la protection des applications Web et des API distribuées dans le cloud (WAAP) de F5 est essentielle pour combler le manque de vulnérabilité pendant que les organisations traitent leurs arriérés de correctifs et de mises à jour.
Ressources et liens utiles :