L’ANSSI publie des règles de détection de l’exploitation Log4Shell

L'ANSSI a récemment mis à la disposition de tous un document contenant des éléments de détection de l'exploitation des vulnérabilités affectant Log4j.

La vulnérabilité Log4Shell et celles qui l'ont suivies à partir de novembre 2021 étaient les très mauvaises surprises de Noël pour un très grand nombre de RSSI, sysadmins et entreprises. Celles-ci sont activement utilisées et le seront encore probablement pendant plusieurs mois. En effet, plusieurs cas de ransomwares déployés par le biais de ces vulnérabilités sont déjà à déplorer.

Pour rappel, plusieurs vulnérabilités successives ont été découvertes sur cette librairie (Log4j) Java/J2EE ultra utilisée et permettant de journaliser et d'enrichir les journaux d'évènements d'une application. L'exploitation de ces vulnérabilités, à distance et sans authentification, permet in fine l'exécution de commande sur les serveurs impactés. L'exploitation consiste "simplement" en l'envoi d'une chaine de caractères spécialement formatée qui sera traitée par la librairie vulnérable. Plus d'informations ici : Log4Shell - Quels sont les produits vulnérables ?

Ce week-end, l'ANSSI a mis à la disposition de tous un document contenant des éléments de détection de l'exploitation de ces vulnérabilités pour l'outil Suricata. Ces différentes règles permettent, si vous avez déjà mis en place une infrastructure de détection adéquate, de prévenir ou de détecter une compromission liée aux vulnérabilités de log4j (CVE-2021-44228, CVE-2021-45046 et CVE 2021-451-05).

Vulnérabilités Log4j CVE-2021-44228 - CVE-2021-45046 - CVE-2021-45105 - Règles de détection
Vulnérabilités Log4j CVE-2021-44228 - CVE-2021-45046 - CVE-2021-45105 - Règles de détection

Les règles de détection proposées par l'ANSSI sont composées d'expressions régulières qui peuvent être utilisées dans d'autres outils que Suricata (pare-feu applicatif, journaux d'un serveur web, proxy, IDS, IPS, etc.). Elles sont divisées en deux groupes :

  • Le premier groupe de règles concerne la détection d'injections liées à Log4Shell, ces règles visent les flux entrants sur plusieurs protocoles afin de maximiser les chances de détection.
  • Le second groupe de règles cible les flux sortants et la détection de l'exploitation réussie de la vulnérabilité par le biais de l'interface JNDI, qui est la fameuse fonctionnalité problématique permettant de charger/injecter des classes Java à distance dans l'application vulnérable.

Pour aller plus loin dans la compréhension de cette vulnérabilité, je vous oriente vers ces trois ressources :

Le guide de détection de l'ANSSI est disponible à cette URL : Vulnérabilités Log4j CVE-2021-44228 - CVE-2021-45046 - CVE-2021-45105 - Règles de détection 

Attention toutefois, au vu de l'actualité brûlante autour de ces vulnérabilités, il se peut que de nouvelles règles et méthodes d'exploitation paraissent prochainement. Pour obtenir les dernières informations et règles de détection, je vous recommande fortement de suivre les mises à jour du bulletin d'alerte du CERT-FR : Vulnérabilité dans Apache Log4j. Ce bulletin contient les liens vers les derniers documents à jour des règles de détection. Ce même bulletin contient un grand nombre d'informations, notamment des contournements provisoires, des outils de test, etc.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Co-fondateur d'IT-Connect.fr. Auditeur en sécurité des systèmes d'information chez Amossys

mickael has 516 posts and counting.See all posts by mickael

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.