BLOG

Vulnérabilité Log4j : Les organisations sont-elles toujours en danger ?

Vignette de Sudhir Patamsetti
Sudhir Patamsetti
Publié le 12 juillet 2023

La menace persistante

Cela fait plus de 18 mois que la vulnérabilité de log4j a envoyé des ondes de choc dans la communauté de la cybersécurité, mais des rapports récents indiquent qu'un pourcentage stupéfiant de 40 % des téléchargements de log4j sont toujours vulnérables à l'exploitation et que 72 % des organisations sont toujours vulnérables à log4j, au 1er octobre 2022. Rien qu'en mai 2023, notre plateforme cloud distribuée F5 a contribué à protéger les clients contre plus d'un million de tentatives d'attaques log4j, qui ont été atténuées avec succès par les capacités de protection des applications Web et des API.

Figure 1 : Les attaques Log4j de juin et juillet 2023 continuent d'être atténuées par F5 Distributed Cloud WAAP

Il s’agit simplement d’un exemple de CVE mettant en évidence les défis qui persistent alors que les organisations ont du mal à suivre le rythme de la gestion des mesures correctives CVE, et c’est un problème qui ne va faire que s’aggraver. Le nombre de CVE publiés s’accélère et F5 Labs s’attend à ce que le rythme auquel de nouveaux CVE seront publiés au cours d’une semaine typique atteigne 500 par semaine d’ici 2025. Cela fait presque 2 ans que la vulnérabilité de log4j a été exposée, et les organisations sont toujours en train de rattraper leur retard alors que le problème plus large continue d'évoluer. Malgré la disponibilité des correctifs et des mises à jour, de nombreux facteurs contribuent à des vulnérabilités persistantes comme log4j.

Défis organisationnels

Le nombre et la fréquence considérables des nouvelles vulnérabilités font que les organisations ont du mal à suivre le rythme (et peuvent même ne pas être au courant) lorsqu'elles apparaissent, soit en raison d'informations limitées, soit en raison de ressources limitées pour se tenir au courant des nouveaux avis. Une fois qu'une vulnérabilité est identifiée, la mise en œuvre de correctifs sur les systèmes vulnérables peut s'avérer complexe, en particulier dans les grandes organisations dotées de systèmes interconnectés, nécessitant des efforts et une coordination considérables, entraînant de longs cycles de mise en œuvre de correctifs. Cette situation est rendue plus complexe par le mélange d’infrastructures, de systèmes et d’applications hérités et modernes qui existe dans la plupart des organisations, ce qui peut créer des problèmes de compatibilité, des coûts élevés ou des engagements de temps gênants lors de la tentative de mise en œuvre de mises à jour critiques. De plus, les correctifs et les mises à jour complexes sont des dépendances indirectes qui peuvent exister au sein des chaînes d’approvisionnement de logiciels ou des composants d’infrastructure et qui peuvent constituer un angle mort, même si une organisation n’utilise pas directement le système vulnérable. Tout comme le code logiciel lui-même, l’erreur humaine et la négligence peuvent également entraver les efforts d’atténuation, car les développeurs ou les administrateurs peuvent négliger la nécessité d’appliquer des correctifs ou mal configurer les systèmes. Enfin, les organisations dotées d’infrastructures informatiques complexes ou d’une culture d’aversion au risque peuvent connaître des retards dans l’adoption des correctifs en raison de tests approfondis, de préoccupations concernant les perturbations ou de priorités commerciales concurrentes. À cette complexité s’ajoute le fait que la plupart des organisations manquent de personnel, notamment dans le domaine de la sécurité. Alors, comment sont-ils censés suivre le rythme alors qu’ils travaillent d’arrache-pied pour corriger et mettre à jour les systèmes et les applications ?

Conclusion

La résolution des vulnérabilités telles que Log4j nécessite un effort collectif de la part des organisations, des développeurs, des fournisseurs et de la communauté plus large de la cybersécurité. Des correctifs rapides et complets, une meilleure sensibilisation, des pratiques robustes de gestion des vulnérabilités et une surveillance continue sont essentiels pour minimiser la persistance des vulnérabilités et protéger les organisations contre les attaques potentielles. Bien que les correctifs soient essentiels pour corriger les vulnérabilités connues comme log4j, ils ne peuvent pas garantir une protection complète car de nouvelles vulnérabilités apparaissent constamment. Pour atténuer efficacement les risques, les organisations doivent adopter des solutions de sécurité complètes. Cela comprend la mise en œuvre de pare-feu d’applications Web (WAF) et de mesures de sécurité API pour se protéger contre les attaques au niveau des applications. En outre, une surveillance continue est essentielle pour détecter et répondre rapidement aux menaces émergentes. En adoptant une approche holistique qui combine l’application de correctifs avec des mesures de sécurité robustes et une surveillance continue, les organisations peuvent mieux protéger leurs systèmes et leurs données contre les risques de sécurité en constante évolution.

Les correctifs sont appliqués, mais souvent (comme dans ce cas avec log4j) ils ne se produisent pas assez rapidement et de nouveaux CVE sont rapidement identifiés. Il est donc essentiel que les organisations disposent d'une couche de sécurité complète devant leurs applications, quel que soit leur degré de correction et de mise à jour. La protection des applications internes et Web avec une solution telle que la protection des applications Web et des API distribuées dans le cloud (WAAP) de F5 est essentielle pour combler le manque de vulnérabilité pendant que les organisations traitent leurs arriérés de correctifs et de mises à jour.


Quelques ressources et liens connexes :