Après l’annonce de la découverte de la faille dans la bibliothèque de journalisation Log4j, DSI et RSSI doivent identifier rapidement les systèmes et les services vulnérables. Un travail de longue haleine, qui a fait dire à Guillaume Poupard, directeur général de l’Anssi, que « les experts en cybersécurité dans les entreprises se préparent à des fêtes de fin d’année compliquées ». Pour les aider, constructeurs, éditeurs et fournisseurs ont communiqué sur les offres et produits touchés par la faille Log4Shell. Une liste non exhaustive pour montrer l’impact de la vulnérabilité et les difficultés pour corriger l’ensemble des systèmes affectés.

Les grands acteurs de l’IT à la manoeuvre

Commençons par les grands acteurs de l’IT. Amazon Web Services a actualisé plusieurs de ses services dont OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass et API Gateway. La firme met à jour sur cette page l’ensemble des services impactés et la liste s’allonge rapidement. La partie cloud est aussi visée chez Microsoft qui alerte autour des services Azure comme Functions (serverless). IBM concentre son attention sur les serveurs d’applications WebSphere (les versions 8.5 et 9.0). Oracle a une communication plutôt elliptique en publiant le 10 décembre un bulletin d’alerte indiquant que « plusieurs composants » sont touchés mais sans donner de détails. Même ton sibyllin du côté de Google Cloud qui met en avant dans un blog ses solutions de sécurité (Armor, IDS,…) pour détecter la faille sans préciser les services touchés.

La liste est par contre longue pour VMware qui voit vCenter, Horizon, vRealize, Tanzu, CarbonBlack directement impactés. Adobe a précisé que ColdFusion était concerné et a publié le 14 décembre un bulletin de sécurité, ainsi qu’une méthode de contournement de la faille. Broadcom (propriétaire de CA Technologies et Symantec ) a annoncé plusieurs bulletins de sécurité autour des offres d’API management Layer7 et des solutions de sécurité de Symantec. On peut également citer Splunk qui colmate plusieurs services (connect for Kafka, des add-on pour Jboss ou Tomcat, Enterprise Docker Container). Intel n’est pas non plus à l’abri avec des solutions exposées (Audio Developpment Kit, Datacenter Manager…).

Le monde du réseau et les environnements Linux touchés

Les spécialistes du réseau ripostent aussi. Cisco a publié le 14 décembre une cascade d’alertes de sécurité. Elles concernent des routeurs et des commutateurs à destination des grandes entreprises et des PME-PMI des logiciels de gestion des réseaux, mais également des terminaux de communication et les serveurs Webex. Toujours sur la partie réseau, Juniper Networks inventorie les produits affectés, notamment l’offre Parangon (Insights, Pathfinder, Planner). Par ailleurs, l’inventaire est large pour HPE qui voit les offres Aruba, mais aussi les baies de stockage 3Par Storeserv et les switchs Brocade dans la tourmente.

La distribution Linux Debian a intégré la mise à jour de Log4j dans plusieurs versions : Debian 9 (Stretch), 10 (Buster), 11 (Bullseye), et 12 (Bookworm). De son côté, Red Hat estime que la faille touche certaines versions d’OpenShift (4 et 3.11) ainsi que RHEL. Toujours sur Linux, Ubuntu corrige plusieurs versions (21.10, 21.04, 20.04, 18.04). Concernant Docker, une douzaine d’images officielles sont vulnérables et une liste est disponible sur cette page, ainsi que les moyens de contourner la brèche.

Les solutions de sécurité prises en défaut

Dans cette liste (non exhaustive), plusieurs éditeurs de solutions de sécurité sont concernés. Parmi eux, la firme finlandaise F-Secure a annoncé que Policy Manager (uniquement le composant Policy Manager Server), Policy Manager Proxy, Endpoint Proxy, Messaging Security Gateway et Elements Connector étaient exposés à la  CVE-2021-44228. Elle publie un guide pas à pas pour la corriger. Le spécialiste de l’authentification, Okta, pousse ses clients à actualiser son agent pour les serveurs Radius et la version on-prem du MFA. Sophos, Trend Micro, Fortiguard, Eset ou McAfee ont également publié des alertes.

A noter que la plupart des éditeurs, constructeurs et fournisseurs ont du revoir leurs bulletins de sécurité, car le correctif initial (Log4j version 2.15) diffusé par la Fondation Apache était incomplet dans certaines configurations. L’équipe en charge de la maintenance de la bibliothèque a donc publié une autre version 2.16 plus complète.