BLOG

Vulnérabilité Log4j : Les organisations sont-elles toujours en danger ?

Vignette de Sudhir Patamsetti
Sudhir Patamsetti
Publié le 12 juillet 2023

La menace persistante

Cela fait plus de 18 mois que la vulnérabilité de log4j a envoyé des ondes de choc dans la communauté de la cybersécurité, mais des rapports récents indiquent qu'un pourcentage stupéfiant de 40 % des téléchargements de log4j sont toujours vulnérables à l'exploitation et que 72 % des organisations sont toujours vulnérables à log4j, au 1er octobre 2022. Rien qu'en mai 2023, notre plateforme cloud distribuée F5 a contribué à protéger les clients contre plus d'un million de tentatives d'attaques log4j, qui ont été atténuées avec succès par les capacités de protection des applications Web et des API.

Figure 1 : Les attaques Log4j de juin et juillet 2023 continuent d'être atténuées par F5 Distributed Cloud WAAP

Il s’agit simplement d’un exemple de CVE mettant en évidence les défis qui persistent alors que les organisations ont du mal à suivre le rythme de la gestion des mesures correctives CVE, et c’est un problème qui ne va faire que s’aggraver. Le nombre de CVE publiés s’accélère et F5 Labs s’attend à ce que le rythme auquel de nouveaux CVE seront publiés au cours d’une semaine typique atteigne 500 par semaine d’ici 2025. Cela fait presque 2 ans que la vulnérabilité de log4j a été exposée, et les organisations sont toujours en train de rattraper leur retard alors que le problème plus large continue d'évoluer. Malgré la disponibilité des correctifs et des mises à jour, de nombreux facteurs contribuent à des vulnérabilités persistantes comme log4j.

Défis organisationnels

Le nombre et la fréquence élevés de nouvelles vulnérabilités obligent les organisations à lutter pour suivre le rythme, souvent sans en être pleinement conscientes, faute d’informations ou de ressources suffisantes pour rester à jour des nouvelles alertes. Dès qu’une vulnérabilité est détectée, corriger les systèmes concernés devient complexe, surtout dans les grandes structures aux systèmes interconnectés, nécessitant un effort important et une coordination soignée, ce qui prolonge les cycles de déploiement des correctifs. Le mélange d’infrastructures, systèmes et applications à la fois hérités et modernes accroît cette complexité, engendrant des problèmes de compatibilité, des coûts élevés et des contraintes de temps difficiles à gérer lors de l’application des mises à jour critiques. Par ailleurs, les dépendances indirectes liées aux processus complexes de correction et de mise à jour dans les chaînes logicielles ou composants d’infrastructure représentent un risque souvent invisible, même si vous n’utilisez pas directement le système vulnérable. À l’image du code logiciel, les erreurs humaines et les oublis ralentissent aussi la réponse, car développeurs ou administrateurs peuvent passer à côté de l’application de correctifs ou mal configurer les systèmes. Enfin, dans les infrastructures IT sophistiquées ou culturels entreprises prudentes, les exigences de tests approfondis, la crainte des interruptions ou les priorités concurrentes freinent l’adoption rapide des correctifs. Pour compliquer encore davantage, la majorité des structures manquent de personnel, surtout côté sécurité. Alors comment suivre le rythme tout en travaillant intensément à corriger et mettre à jour vos systèmes et applications ?

Conclusion

La résolution des vulnérabilités telles que Log4j nécessite un effort collectif de la part des organisations, des développeurs, des fournisseurs et de la communauté plus large de la cybersécurité. Des correctifs rapides et complets, une meilleure sensibilisation, des pratiques robustes de gestion des vulnérabilités et une surveillance continue sont essentiels pour minimiser la persistance des vulnérabilités et protéger les organisations contre les attaques potentielles. Bien que les correctifs soient essentiels pour corriger les vulnérabilités connues comme log4j, ils ne peuvent pas garantir une protection complète car de nouvelles vulnérabilités apparaissent constamment. Pour atténuer efficacement les risques, les organisations doivent adopter des solutions de sécurité complètes. Cela comprend la mise en œuvre de pare-feu d’applications Web (WAF) et de mesures de sécurité API pour se protéger contre les attaques au niveau des applications. En outre, une surveillance continue est essentielle pour détecter et répondre rapidement aux menaces émergentes. En adoptant une approche holistique qui combine l’application de correctifs avec des mesures de sécurité robustes et une surveillance continue, les organisations peuvent mieux protéger leurs systèmes et leurs données contre les risques de sécurité en constante évolution.

Les correctifs sont appliqués, mais souvent (comme dans ce cas avec log4j) ils ne se produisent pas assez rapidement et de nouveaux CVE sont rapidement identifiés. Il est donc essentiel que les organisations disposent d'une couche de sécurité complète devant leurs applications, quel que soit leur degré de correction et de mise à jour. La protection des applications internes et Web avec une solution telle que la protection des applications Web et des API distribuées dans le cloud (WAAP) de F5 est essentielle pour combler le manque de vulnérabilité pendant que les organisations traitent leurs arriérés de correctifs et de mises à jour.


Ressources et liens utiles :