Qu’est-ce que Log4j et Log4Shell ?
Log4j est un logiciel avec lequel la plupart des utilisateurs d’ordinateurs n’interagiront jamais, mais il est présent sur un très grand nombre de systèmes. Il s’agit d’une bibliothèque Java qui gère la journalisation et la génération de rapports sur les événements d’application. Elle est intégrée à de nombreuses applications Java, car les développeurs trouvent qu’il est extrêmement utile de respecter les exigences de sécurité et de conformité en enregistrant l’activité des applications. Le logiciel est maintenu par Apache Software Foundation et existe depuis plus de deux décennies. Il est difficile d’imaginer une organisation moderne qui n’exécute pas de logiciel s’appuyant sur cette bibliothèque quelque part dans son environnement technologique.
Log4j a effectué son travail de manière fiable dans une relative obscurité jusqu’au 9 décembre 2021, date à laquelle Apache a annoncé la présence de la vulnérabilité Log4Shell, qui posait un risque critique pour la sécurité des systèmes connectés à Internet qui utilisent Log4j. La vulnérabilité permet à un attaquant de prendre le contrôle total des systèmes non corrigés, souvent en envoyant une simple requête HTTP à une application Web exécutée sur ce serveur.
Les attaquants n’ont pas tardé à exploiter cette vulnérabilité, en intégrant l’exploit dans un code de botnet largement utilisé et en compromettant les systèmes dans le monde entier. La simplicité de l’attaque et ses conséquences dévastatrices ont conduit Log4Shell à recevoir un score de 10 dans le cadre du Common Vulnerability Scoring System – le score de gravité le plus élevé possible sous CVSS, justifiant une attention immédiate de la part des professionnels de la cybersécurité.
VOIR LA VIDÉO: Découvrez comment résoudre les vulnérabilités de Log4j et protéger votre réseau.
Les organisations de soins de santé devraient appliquer des correctifs aux systèmes dès maintenant
Les organisations de santé qui ne l’ont pas encore fait doivent immédiatement analyser leur réseau à la recherche de systèmes exécutant des versions vulnérables de Log4j et corriger ces systèmes le plus rapidement possible. Pour vous aider dans cette tâche, la Cybersecurity and Infrastructure Security Agency (CISA) du Département américain de la sécurité intérieure tient à jour une liste des applications potentiellement vulnérables qui intègrent Log4j. Et le centre de coordination CERT propose un outil d’analyse Log4j qui peut vérifier l’état d’applications Java spécifiques.
Il y a une tournure supplémentaire pour les organisations qui découvrent aujourd’hui des déploiements vulnérables de Log4j. Cette vulnérabilité a été largement médiatisée et exploitée depuis plus de six mois. Cela signifie qu’une organisation découvrant un système vulnérable dont les applications sont exposées à Internet doit supposer que le système est compromis et activer immédiatement ses plans de réponse aux incidents pour effectuer une enquête et une réponse approfondies.
Les technologues des organisations de santé savent qu’il n’est pas toujours possible de mettre à jour les logiciels utilisés dans un environnement médical et, en fait, certains systèmes embarqués ne peuvent tout simplement pas être mis à jour. Dans ces situations, les appareils vulnérables doivent être placés sur un réseau isolé dans la mesure du possible. CISA propose également des mesures d’atténuation qui peuvent être utilisées pour réduire la vulnérabilité des systèmes exécutant les versions affectées de Log4j.
EN RELATION: Découvrez comment résoudre le problème de sécurité Log4j avec DevOps.
Stratégies à long terme pour aborder Log4j dans les soins de santé
Les organisations de santé qui ont déjà abordé Log4j peuvent profiter de cette opportunité pour résoudre certains des problèmes sous-jacents qui ont permis à Log4j de devenir si perturbateur.
Il existe quatre actions spécifiques que les organisations peuvent prendre pour avoir un impact considérable sur leur capacité à répondre à des incidents similaires à l’avenir :
- Développer un inventaire des applications et des composants : Lorsque de nouvelles vulnérabilités apparaissent, l’un des défis fondamentaux auxquels la plupart des organisations sont confrontées est qu’elles ne savent pas quels logiciels elles exécutent et sur quels composants ces logiciels reposent. Les organisations doivent développer un inventaire des logiciels qu’elles utilisent et des composants sur lesquels les logiciels s’appuient pour leur permettre de retracer rapidement l’utilisation des composants vulnérables. Les outils d’analyse de la composition logicielle peuvent vous aider dans ce travail, en épluchant les couches des applications de production pour identifier les composants sous-jacents.
- Implémentez un programme de gestion des correctifs solide : La plupart des organisations de santé font aujourd’hui un bon travail pour maintenir les systèmes d’exploitation corrigés selon les normes de sécurité actuelles. L’application de correctifs, cependant, reste souvent un objectif insaisissable. Les fournisseurs doivent s’assurer que leurs programmes de gestion des correctifs couvrent tous les systèmes d’exploitation, applications et appareils utilisés dans leurs environnements, en accordant une attention particulière à ceux qui sont exposés au public.
- Gérez activement les vulnérabilités de sécurité : Les équipes de cybersécurité des organisations de santé modernes disposent presque toujours d’un outil d’analyse des vulnérabilités dans leur arsenal. Cependant, cet outil n’est efficace que lorsqu’un processus rigoureux garantit que ces vulnérabilités sont rapidement résolues. Les fournisseurs qui ne l’ont pas encore fait devraient envisager d’intégrer leurs outils de gestion des vulnérabilités à leurs outils de gestion des services informatiques pour offrir une visibilité et un suivi des efforts de remédiation.
- Obtenez et surveillez les sources de renseignements sur les menaces : Une variété de produits open source et commerciaux donnent un aperçu des environnements de menaces en évolution rapide. Les équipes de cybersécurité doivent surveiller activement plusieurs sources diverses de renseignements sur les menaces afin d’identifier les menaces potentielles pour leurs opérations.
La communauté de la cybersécurité est à la traîne de la vulnérabilité Log4j. Nous avons corrigé la plupart de nos systèmes et restauré les services qui dépendaient de composants vulnérables.
Il est maintenant temps de mettre de l’ordre dans votre maison et de vous assurer que vous êtes mieux préparé pour la prochaine vulnérabilité avant qu’elle ne tombe dans le tuyau.
SUIVANT: Découvrez pourquoi les partenariats sont importants pour la sécurité des soins de santé.
