Émile
December 15, 2021

Suis-je à risque par rapport à la vulnérabilité de Log4j?

Émile
December 15, 2021
PARTAGER

L'annonce du Gouvernement du Québec le 12 décembre dernier concernant la fermeture de près de 4000 sites et services en ligne, en rapport avec une faille de sécurité sur les serveurs, a mis plusieurs personnes sur les dents dans les derniers jours. Nous compris!

Ça nous vous dit rien? Lisez cet article de La Presse pour vous rattraper : Faille de sécurité : Québec et Ottawa ferment des sites et services internet gouvernementaux

Dès les premiers drapeaux rouges levés, nos équipes se sont affairés à faire les vérifications nécessaires sur nos serveurs afin de valider si la vulnérabilité était présente en nos rangs. Bonne nouvelle : plus de peur que de mal. On a cru bon vous informer des actions prises et des conclusions que nous en avons tirées.

Action prise

Vérifier si Java est installé sur le serveur. Si Java est installé, vérifier les programmes, processus et fichiers qui en font usage et lire les releases et recommandations des distributeurs du software concerné.

Conclusion

Java n'est installé globalement sur aucun de nos serveurs.

Action prise

Vérifier si des applications Java pré-compilées sont utilisés sur nos serveurs. Si présentes, vérifier si elles utilisent log4j.


Conclusion

Aucune application Java pré-compilée à risque n'a été détectée.
Des applets Java sont présentes (quoique peu utilisées) dans certains sites web plus anciens hébergés sur notre serveur, mais ils n'utilisent pas log4j.

Action prise

Vérifier si log4j est installé directement sur le serveur.

Conclusion

Ce n'est le cas dans aucun de nos serveurs. Aucune action plus poussée à ce niveau.

Actions prises

Vérifier si des configurations, des scripts ou autres fichiers mentionnent log4j ou les termes associés.
Analyser chacun des résultats afin de déterminer si ce sont des faux positifs (ex.: librairie Javascript log4js, librairie Python ou Ruby inspirée de log4j, etc.) ou une utilisation réelle de log4j.

Conclusion

Aucun fichier relié à log4j n'a été détecté.

Action prise

Vérifier les security releases des applications/programmes/scripts/services qui ont accès au network et/ou qui pourrait produire des logs suite à des requêtes HTTP, afin de savoir si le software a été analysé et considéré comme vulnérable, ou si des mises à jour de sécurité sont disponibles suite à la vulnérabilité.

Conclusion

Aucun software vulnérable n'est utilisé sur nos serveurs.
Des mises à jour de sécurité additionnelles ont tout de même été mises en place afin de contrer d'éventuelles ouvertures à cette vulnérabilité.


Action prise

Vérifier la liste maintenue par la NCSC-NL par rapport au statut des softwares pour la CVE-2021-44228, afin d'être certain de ne pas utiliser de services ou de software affectés.

Conclusion

Aucun software/service vulnérable utilisé sur nos serveurs.

Action prise

Analyser les logs du serveur afin de vérifier si des tentatives d'injection de code ont eu lieu. Si des tentatives ont eu lieu, vérifier le résultat de celles-ci.

Conclusion

Quelques tentatives d'injection ont eu lieu, mais tout indique que celles-ci ont soit été bloquées à la source par des systèmes de sécurité sur nos serveurs, soit ont été non-fructueuses puisque nous n'utilisons pas de services ou de programmes vulnérables.

Et après?

En terminant, bien que la grosse adrénaline soit maintenant derrière nous, nous demeurons à l'affût et proactifs. Voici comment:

  • Nous continuons de suivre les développements de la situation.
  • Nous effectuons des vérifications et des mises à jour de sécurité additionnelles à mesure que celles-ci seront rendues disponibles.
  • Des tests d'intrusions seront faits de notre côté au besoin afin de valider que nos serveurs ne sont pas vulnérables à la CVE-2021-44228.