Un exploit du jour zéro a été rapporté concernant la bibliothèque de journalisation d’Apache — Log4j. Parce qu’elle permettrait à un attaquant d’en exécuter le code à distance, cette vulnérabilité revêt la plus haute importance et on lui a attribué la note de 10/10, ce qui nécessite votre attention immédiate de manière à atténuer les risques.
L’infrastructure de la FCA de CANARIE qui sous-tend eduroam et la gestion fédérée des identités (GFI) n’est pas touchée pour l’instant. Tous les systèmes ont été sécurisés et nous collaborons étroitement avec notre équipe de la cybersécurité pour déterminer toutes les répercussions éventuelles. Étant donnée la gravité de la vulnérabilité, nous vous conseillons d’utiliser toutes les rustines existantes et de suivre les recommandations que voici.
La situation continue d’évoluer. Ces directives pourraient donc être modifiées à mesure que la communauté mondiale de gestion des identités et des accès en apprend davantage et diffuse l’information pertinente.
Mesure recommandée
La bibliothèque vulnérable Log4j2 (versions 2.0 à 2.14.1) se trouve dans log4j-core.jar. Elle doit immédiatement être mise à jour avec la version v2.16.0 ou une autre, plus récente.
Pour en savoir plus sur les risques que pose Log4j, lisez les explications sur log4shell.com.
Situation actuelle des services de la FCA
Gestion fédérée des identités (GFI)
IdP Shibboleth / composants du logiciel SP : Non affectés
Référence : https://shibboleth.net/pipermail/announce/2021-December/000253.html
ADFS et ADFSToolkit : Non affectés
Référence : https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
Serveurs Web associés
Tomcat : Pourrait être affecté selon l’âge et la configuration du serveur. Recommandation : effectuer un contrôle de sécurité et appliquer les correctifs.
Si vous utilisez le conteneur Docker du fournisseur d’identités Shibboleth élaboré par Internet2 Trusted Access Platform Release, mettez la version à niveau avec au moins i2incommon/shib-idp:4.1.4_20211214 qui intègre la v2.16 de Log4J.
Jetty 9.4 : Vraisemblablement pas affecté.Recommandation : effectuez un contrôle de sécurité par prudence.
Plateformes IdP sanctionnées
Apereo CAS : Versions 6.3+ affectées. Recommandations : remédier sur-le-champ aux risques en installant les versions les plus récentes (à la date de l’avis) pour chaque élément de CAS.
- 6.3.x – Modifier le recouvrement du programme pour qu’il pointe vers la version 6.3.7.2.
- 6.4.x – Modifier le recouvrement du programme pour qu’il pointe vers la version 6.4.4.
Lire : https://apereo.github.io/2021/12/11/log4j-vuln/ pour en savoir plus.
SimpleSAMLPHP : Ne semble pas être affecté (n’utilise pas Java)
SATOSA : Ne semble pas être affecté (n’utilise pas Java)
eduroam
Nous n’avons pas eu connaissance d’un impact quelconque sur les serveurs RADIUS qui soutiennent eduroam (Radiator, FreeRADIUS, Microsoft NPS). Toutefois, bien que ces serveurs ne soient pas touchés, la plateforme qui les gère ou les outils que vous utilisez pour garder et gérer les journaux pourraient être vulnérables. Recommandation : Vérifiez la situation avec votre fournisseur de plateforme sans fil pour savoir si une mise à jour s’impose.
À quoi ressemblent les mesures d’atténuation?
Veuillez coordonner vos efforts avec ceux de l’officier principal de la sécurité de l’information (OPSI) ou avec les responsables de la cybersécurité de l’institution en vue d’établir où pourrait se trouver Log4j.
Notez que si Log4j peut se situer dans un fichier sur disque sous la forme log4j-core#.#.#.jar, on pourrait également le trouver dans les diffusions WAR et EAR (fichiers comprimés zip). En d’autres termes, effectuer une recherche avec “log4j-core\*.jar” pourrait fonctionner avec la ligne de commande, mais vous ne détecterez pas les fichiers comprimés.
Lors du contrôle, examinez les systèmes pour déterminer la dernière mise à jour et installez la version la plus récente par la méthode automatique, soit yum pour CentOS et apt pour Ubuntu/Debian. Redémarrez les services afin que les nouveaux fichiers s’exécutent.
Restez à jour pour plus de sûreté.
- Installez les rustines les plus récentes pour garder les systèmes à jour.
- Pour connaître les dernières nouvelles sur Log4j, nous préconisons de suivre le site https://logging.apache.org/log4j/2.x/security.html.
- Installez le fil de menaces du CanSSOC, gratuit pour les organisations de recherche et d’éducation admissibles inscrites au programme Initiatives en cybersécurité de CANARIE. Vous ne savez pas si votre organisation a accès au fil de menaces? Contactez l’équipe du CanSSOC à [email protected]; elle donne temporairement accès à son fil de menaces ou à son canal Slack à toutes les institutions qui en font la demande.
- L’équipe d’analyse du CanSSOC et les membres de la communauté font régulièrement le point de la situation sur leur canal Slack.
- Le fil de menaces est actualisé avec les indicateurs de compromission à mesure qu’ils sont diffusés sur les sites de source ouverte ou que les institutions les divulguent.
- Inscrivez-vous à la liste de diffusion des principaux composants des logiciels pour recevoir l’information et les avertissements.
Soutien
- Écrivez-nous à [email protected].
- Conversez avec vos collègues responsables de la gestion des identités et des accès sur le canal Slack de la FCA.
Documentation complémentaire
Liste de produits et de documents de la communauté Internet sur Log4j2 :
- https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Réponses et commentaires de Microsoft sur la vulnérabilité Log4J :
Équipe d’information sur les menaces de Microsoft 365 Defender :