Qu’est-ce que Log4Shell et comment protéger votre système Linux contre lui

What Is Log4shell And How To Protect Your Linux System Against It Featured Image
⏱️ 9 min read

La vulnérabilité Log4Shell (CVE-2021-44228) est décrite par de nombreux chercheurs et experts en cybersécurité comme étant la vulnérabilité zero-day la plus critique de tous les temps. Il affecte un utilitaire Java largement utilisé sous le nom de Log4j, qui existe depuis 2001 pour la journalisation et la communication d’événements, tels que les opérations système de routine et les erreurs logicielles. Ici, nous vous montrons comment protéger votre système Linux contre cela.

Comment fonctionne la vulnérabilité Log4Shell ?

À un niveau fondamental, la vulnérabilité est causée par une mauvaise validation des entrées. Cela se produit lorsque le logiciel ne valide pas correctement les données qu’il reçoit, ce qui entraîne d’éventuelles vulnérabilités, car une entrée mal validée peut être utilisée pour que le programme effectue des actions qu’il n’est pas censé faire.

Log4Shell tire spécifiquement parti des requêtes que Log4j envoie aux serveurs, en utilisant LDAP et JNDI. En tirant parti de ces requêtes, un attaquant peut exécuter du code sur n’importe quel système vulnérable, ce qui peut amener un acteur malveillant à prendre le contrôle total du système et à avoir la possibilité d’installer un rançongiciel ou de voler des données.

Qu’est-ce que Log4Shell affecte ?

Étant donné que Java est un langage de programmation extrêmement populaire, de nombreux logiciels écrits en Java qui utilisent Log4j pour leur fonctionnalité de journalisation sont affectés par cette vulnérabilité. Parmi les logiciels les plus connus et les plus couramment utilisés touchés par cette vulnérabilité figurent Apache et le jeu vidéo appelé Minecraft.

Comment savoir quels logiciels sont concernés ?

Log4Shell, comme toute autre vulnérabilité de cybersécurité, est atténuée en corrigeant le logiciel concerné. Cependant, le cas de Log4Shell est un peu plus unique, car il affecte un si large éventail de logiciels, et il peut être difficile de garder une liste de ce qui est affecté et de ce qui ne l’est pas.

Heureusement, le Centre national de cybersécurité des Pays-Bas a publié une liste complète sur GitHubqui comprend des noms de logiciels développés par différentes organisations, qui indiquent s’ils sont vulnérables à Log4Shell.

Comment analyser votre serveur Apache pour la vulnérabilité

Étant donné que cette vulnérabilité a considérablement affecté les communautés de la cybersécurité et des logiciels, il n’est pas surprenant qu’il existe des outils permettant aux administrateurs d’analyser leurs serveurs à la recherche de la vulnérabilité.

Un tel scanner est Log4j-RCE-Scannerqui vous permet de rechercher une vulnérabilité d’exécution de commande à distance sur Apache Log4j à plusieurs adresses.

Installation de Log4j-RCE-Scanner

Avant de commencer, nous devons installer ses dépendances, httpx et curl.

Curl peut être facilement installé sur les systèmes basés sur Ubuntu et Debian en utilisant le apt commande:

sudo apt install curl
installation de la dépendance curl

La même chose peut être faite sur Arch Linux en utilisant le pacman commande:

sudo pacman -Sy curl

Et sur les installations CentOS et Fedora utilisant le yum commande:

sudo yum install curl

L’installation de httpx peut être effectuée avec les commandes suivantes :

git clone https://github.com/projectdiscovery/httpx
cd httpx/cmd/httpx && go build .
sudo mv httpx /usr/local/bin/
httpx dépendance git clone

Après avoir installé toutes les dépendances nécessaires, clonez le référentiel Log4J-RCE-Scanner :

git clone https://github.com/adilsoybali/Log4j-RCE-Scanner
bash apache log4j rce scanner git clone

Accédez au répertoire nouvellement créé :

cd Log4j-RCE-Scanner/

Enfin, ajoutez les autorisations exécutables nécessaires pour le script Bash :

chmod +x log4j-rce-scanner.sh
bash apache log4j scanner rce chmod

Utilisation de Log4j-RCE-Scanner

Après avoir installé le scanner, vous pouvez enfin passer à la partie amusante de son utilisation.

Lisez la section d’aide du script en tapant :

bash log4j-rce-scanner.sh -h
aide du scanner bash apache log4j rce

Maintenant, vous pouvez analyser votre serveur Apache pour la vulnérabilité Log4shell.

bash log4j-rce-scanner.sh -d [domain] -b [Burp collaborator]

Vous pouvez spécifier votre domaine et Burp Collaborator en utilisant le -d et -b drapeaux. Si votre domaine est vulnérable, les rappels DNS avec le nom de domaine vulnérable sont envoyés au Collaborateur Burp.

Alternativement, le -l flag peut également être utilisé pour spécifier une liste de domaines.

analyse de test du scanner bash apache log4j

Installation et utilisation d’un scanner basé sur Python

Si vous préférez utiliser un script Python à la place, vous pouvez utiliser le scanner log4développé par la Cybersecurity and Infrastructure Security Agency des États-Unis.

Pour l’installer :

git clone https://github.com/cisagov/log4j-scanner/

Accéder au répertoire :

cd log4j-scanner/log4-scanner/

Vous pouvez installer les dépendances requises à l’aide de Python pip3 commande:

pip3 install -r requirements.txt
python log4j rce scanner git clone

Vous pouvez afficher “l’aide” fournie par le script à l’aide de la -h drapeau:

python3 log4j-scan.py -h
python apache log4j rce scanner aide

L’analyse d’une seule URL est simple et peut être effectuée à l’aide du -u drapeau:

python3 log4j-scan.py -u example.com
python apache log4j rce scanner scan unique

Vous pouvez également analyser une liste d’URL en utilisant le -l drapeau:

python3 log4j-scan.py -l list.txt
analyse de la liste des scanners python apache log4j rce

Comment patcher Apache

Pour lutter contre cette vulnérabilité, il est extrêmement important de maintenir à jour votre configuration Apache.

La vérification de la version d’Apache peut être effectuée de plusieurs manières : en vérifiant depuis votre panneau d’administration, tel que CPanel ou WebHost Manager. Vous pouvez également vérifier la version en exécutant le httpd commande avec le -v drapeau:

httpd -v

Apache peut être mis à jour vers la version la plus récente et la plus sécurisée à l’aide du apt commande sur les systèmes Debian et Ubuntu :

sudo apt update && sudo apt upgrade apache2

Le même résultat est également obtenu en utilisant le yum commande sur CentOS :

sudo yum install httpd

Questions fréquemment posées

1. Quelles versions de Log4j sont affectées par la vulnérabilité ?

Les versions inférieures à 2.1.7.1 sont vulnérables à l’exploit. La version 2.15.0 a corrigé les éléments les plus facilement exploitables, la version 2.17.1 corrigeant une vulnérabilité d’exécution de code à distance difficile à exploiter.

2. Ai-je besoin de l’utilitaire Burp Collaborator pour recevoir des rappels DNS avec des noms de domaine vulnérables ?

Selon le développeur du scanner basé sur Bash, Burp Collaborator est utilisé avec le script lui-même pour recevoir les rappels DNS avec des noms de domaine vulnérables. Alternativement, une adresse Interact.sh peut être utilisée.

3. Ai-je besoin d’autres dépendances pour utiliser le scanner basé sur Bash ?

Pour une utilisation de base, il vous suffit d’installer httpx et Curl sur votre système en tant que dépendances. Cependant, pour déverrouiller certaines fonctionnalités, vous aurez également besoin Sous-outil de recherche, Chercheur d’actifset Amasser étre installé.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Vous aimerez aussi...

S’abonner
Notification pour
guest
0 Comments
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x