Le 9 décembre 2021, une nouvelle vulnérabilité de type “0-day” affectant plusieurs versions de la bibliothèque de journalisation des événements « Apache Log4j 2 » a été rendue publique et affecte les produits Forcepoint suivants :
- Forcepoint Web
- Forcepoint Email
- Forcepoint DLP
- Forcepoint NGFW
Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification.
La faille concernée a donné lieu à la publication d’un CVE :
CVE-2021-44228
L’éditeur FORCEPOINT nous a d’ores et déjà communiqué la procédure à suivre et nous vous invitons à vous rapprocher de notre Centre de Services afin de déployer les correctifs au plus vite :
o Par mail à support@yourax.fr
o Par téléphone au 03 28 33 90 40
En attendant des informations complémentaires de la part de nos éditeurs, nos équipes vous recommandent la plus grande vigilance sur tous vos environnements exposés sur l’extérieur.
Pour consulter le bulletin d’alerte du CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Mise à jour (20/12/2021) :
L’université Carnegie Mellon, une université privée spécialisée en recherche située à Pittsburgh, a publié un article sur la faille Log4J regroupant les principaux éditeurs de l’IT. Cet article regroupe les constructeurs et les liens permettant la remédiation de la vulnérabilité sur leurs produits (lien vers l’article).
TREND MICRO
Deux produits sont encore en cours d’analyse :
- Deep Discovery Director
- Trend Micro Virtual Patch for Endpoint
Les autres produits ne sont pas affectés ou ont été patchés. Trend Micro demande d’appliquer les recommandations éditeurs concernant la bibliothèque incriminée.
Pour les clients possédant les solutions DEEP SECURITY / WORKLOAD SECURITY, ces dernières ont été mises à jour afin de répondre et prendre en compte la 3ème version de la vulnérabilité Log4j : https://success.trendmicro.com/solution/000289940
Un outil a été mis à disposition afin de connaitre les serveurs affectés par la faille. Il suffit de se rendre sur le lien suivant et de rentrer l’url de votre serveur Web : https://log4j-tester.trendmicro.com/
Pour information, une liste des IOCs pour Log4j est disponible sur ce lien.
NETWRIX
Bulletin d’information : lien
PULSE SECURE (IVANTI)
Aucun système impacté : lien
STORMSHIELD
Bulletin d’information : lien
FORTINET
Bulletin d’information : lien 1 et lien 2
DELL
Bulletin d’information : lien
EXTREME NETWORKS
Bulletin d’information : lien
F-SECURE
Bulletin d’information : lien
BEYOND TRUST
La solution n’est pas concernée.
NUTANIX
Bulletin d’information : lien
VMWARE
Concernant VMware, il y a une solution de contournement à appliquer sur le vCenter. À ce jour, il n’y a pas encore de patch.
KB VMware à suivre pour le Workaround : lien
VEEAM
Veeam n’est pas impacté par la CVE : lien
FORCEPOINT
Produits concernés par la faille Log4J : lien
La procédure permettant de réaliser la remédiation de la faille sur la SMC est disponible ici : lien
Pour plus de renseignements, n’hésitez pas à contacter votre chargé d’affaires Yourax habituel.