Depuis le 11 décembre 2021, différents canaux (dont le BSI [1] et CISA [2]) alertent sur l'existence et l'exploitation d'une vulnérabilité dans la bibliothèque Java "Log4j" (attaque zero-day, CVE-2021-44228).
Hornetsecurity est-il concerné ?
Le groupe Hornetsecurity a des exigences élevées pour sa propre sécurité informatique. Nous effectuons des analyses de vulnérabilité automatisées à intervalles réguliers pour atténuer les menaces à la sécurité informatique à un stade précoce. Les processus établis nous ont permis de faire face rapidement au nouveau risque afin de protéger notre infrastructure et nos services.
Le groupe Hornetsecurity a systématiquement vérifié ses systèmes pour déterminer si la vulnérabilité en question constituait une menace directe ou indirecte. À cette fin, nous avons
- effectué un scan automatisé des vulnérabilités,
- vérifié les logiciels et les dépendances installés sur les systèmes respectifs ,
- examiné les déclarations des fournisseurs tiers dont nous utilisons les logiciels et les avons comparées à nos constatations.
Infrastructure primaire (utilisée pour le traitement direct des données des clients).
Les systèmes de ce niveau ne sont pas affectés par la vulnérabilité.
Infrastructure secondaire (systèmes en aval qui traitent indirectement les données des clients).
Nous avons identifié des systèmes utilisés pour traiter les métadonnées qui sont affectés par la vulnérabilité.
Comme mesure immédiate, les solutions de contournement recommandées pour l'atténuation ont déjà été mises en œuvre. Les segments de réseau des systèmes affectés ne sont activés que pour la communication avec les systèmes de l'infrastructure primaire, le trafic sortant est bloqué.
Par conséquent, une sortie théorique de données vers des tiers, qui pourrait être possible en exploitant la faille, n'est pas possible dans notre cas.
Les systèmes seront corrigés en dehors des heures de bureau d'Europe centrale, à partir du 13 décembre 2021. Nous prévoyons que les correctifs seront déployés sur tous les systèmes au plus tard le 19 décembre 2021. Nous ne prévoyons pas d'interruption de service.
Infrastructure tertiaire (systèmes de support et de développement interne qui ne sont pas connectés aux systèmes de prestation de services).
Les systèmes affectés par la vulnérabilité ont été identifiés. L'accès est réservé au personnel technique. Le risque d'exploitation de la vulnérabilité est considéré comme très faible.
Les systèmes affectés seront corrigés en fonction des besoins dans les 7 prochains jours.
Hornetsecurity peut-il détecter les attaques Log4j et suis-je protégé ?
Nous avons détaillé le contexte de la vulnérabilité de sécurité dans notre blog, une réponse détaillée à cette question peut être trouvée dans notre article de blog.
Mise à jour 23.12.2021 :
Les travaux de maintenance interne sur la vulnérabilité critique CVE-2021-44228 (log4j / log4shell) ont été achevés le 19.12.21, 18:00, comme annoncé.
Nous avons évalué les vulnérabilités récemment signalées CVE-2021-45046 et CVE-2021-45105 concernant la bibliothèque Java "log4j" avec un risque significativement plus faible. CVE-2021-45046 décrit une nouvelle vulnérabilité d'exécution de code à distance avec un score de base CVSS de 9.0. CVE-2021-45105 est une vulnérabilité de déni de service avec un score de base CVSS de 7,5.
Encore une fois, les systèmes externes ne sont pas affectés. Notre équipe de sécurité interne a analysé en profondeur nos systèmes secondaires et tertiaires pour déterminer si nos systèmes sont affectés et peuvent être exploités par les vulnérabilités nouvellement identifiées. Nos mesures d'atténuation appliquées contre CVE-2021-44228 réduisent remarquablement le risque d'exploitation par la vulnérabilité CVE-2021-45046 (RCE). CVE-2021-45105 (DoS) n'affecte pas notre système. Tous les systèmes ont été ou seront corrigés dès que les correctifs seront disponibles chez les fournisseurs. D'ici là, les mesures d'atténuation déployées sont en vigueur pour sécuriser nos systèmes et services.
Nous continuons à surveiller et à évaluer tous les rapports de vulnérabilité reçus 24 heures sur 24 et 7 jours sur 7 afin de dériver et de mettre en œuvre toutes les mesures nécessaires pour maintenir la sécurité à court terme. La disponibilité de l'équipe d'intervention d'urgence est également assurée pendant les prochaines vacances.