Zscaler Cloud Platform

Prévenir la vulnérabilité de la bibliothèque Java d’Apache Log4j avec une architecture Zero Trust

Vulnérabilité d’Apache

Rejoignez-nous sur le webinaire qui se tiendra le mercredi 15 décembre à l’occasion duquel les experts de Zscaler ThreatLabz partageront leurs conseils sur tous les nouveaux éléments concernant la vulnérabilité Apache CVE-2021-44228, ainsi que les bonnes pratiques à adopter pour limiter l’impact de futures vulnérabilités.

Une vulnérabilité de type zero-day (CVE-2021-44228) a récemment été découverte dans la célèbre bibliothèque de journalisation Apache Log4j, qui pourrait permettre à un attaquant d’exécuter du code à distance. Il s’est avéré que cette vulnérabilité est actuellement exploitée. Cette bibliothèque de journalisation est communément utilisée par les applications d’entreprise et les services cloud, de nombreux déploiements d’entreprise comprenant des applications privées. Apache a depuis publié une mise à jour de sécurité, et recommandé des configurations pour les versions antérieures qui limitent l’impact de la vulnérabilité. Nous encourageons vivement tous les administrateurs informatiques à mettre immédiatement leur logiciel à jour si ce n’est pas déjà fait.

Zscaler a confirmé l’absence d’impact de la vulnérabilité CVE-2021-44228 sur ses services. Veuillez consulter l’avis de menace de ThreatLabz pour plus de détails techniques sur cette vulnérabilité. Si vous craignez d’avoir été touché, effectuez une analyse gratuite de votre surface d’attaque Internet pour déterminer si vous possédez une surface d’attaque externe utilisant Apache.

Compte tenu de l’adoption à grande échelle par les entreprises d’Apache Struts et d’autres offres connexes, cette vulnérabilité peut potentiellement se répercuter pendant des mois, voire des années, et les gangs de ransomware et autres acteurs de la cybercriminalité peuvent en tirer parti pour provoquer des dégâts considérables. Malheureusement, ce type de découverte n’est pas une nouveauté et, comme Heartbleed et Shellshock avant elle, il met en évidence le risque inhérent à notre monde digital interconnecté.

Il est également évident que si vous dépendez de VPN et de pare-feu pour protéger votre entreprise, vous courez un risque de préjudice beaucoup plus important que si vous utilisez une véritable architecture de réseau Zero Trust. Tout d’abord, voyons pourquoi les pare-feu et les VPN introduisent un risque important en cas d’utilisation d’une version vulnérable d’Apache sur une application interne :

  • Les solutions de sécurité réseau traditionnelles publient les applications sur Internet pour en autoriser l’accès, ce qui permet aux attaquants utilisant des outils librement disponibles, comme Shodan, de les identifier et de les cibler à des fins malveillantes.
  • Les pare-feu et les VPN placent chaque utilisateur sur le réseau afin qu’il puisse accéder aux applications, ce qui permet à un hacker qui est parvenu à pénétrer le réseau par le biais d’une vulnérabilité initiale, ou à un utilisateur infecté, de se déplacer latéralement dans l’entreprise pour répandre des ransomwares ou dérober des données. L’accès aux applications ne devrait jamais être subordonné à un accès au réseau.
  • Nous savons à quel point la pandémie a accéléré notre évolution collective vers un mode de travail hybride, et je ne le répéterai jamais assez : non seulement les pare-feu et les VPN présentent un risque important, mais ils sont également lents, obsolètes et complexes dans le cadre de l’accès du personnel distant à une application privée. Personne ne veut d’une solution risquée assortie d’une expérience utilisateur médiocre.

Dès lors, je vous le demande : combien d’entre vous utilisent encore des pare-feu et des VPN ? Le moment est venu d’élaborer un plan pour les 3, 6 ou 9 prochains mois. Cela ne se fera pas du jour au lendemain, mais il s’agit de l’une des mesures les plus importantes que vous puissiez prendre pour réduire le risque encouru par votre entreprise.

 

Quatre étapes simples pour diminuer les risques avec une architecture Zero Trust :

Le concept de Zero Trust et les avantages qu’il présente en termes de sécurité par rapport aux approches traditionnelles ont fait couler beaucoup d’encre, mais permettez-moi de résumer la situation en utilisant la vulnérabilité d’Apache comme référence.

Dans ce cas, les chercheurs en sécurité d’Alibaba Cloud ont découvert une vulnérabilité de type zero-day, ce qui signifie que sans une mise à jour de sécurité immédiate, chaque client utilisant une version vulnérable est menacé. En outre, la vulnérabilité permet l’exécution complète du code à distance, ce qui donne un accès administrateur complet au service Apache sous-jacent et à toutes les données qu’il contient. S’il veut exploiter cette vulnérabilité, un hacker doit d’abord trouver l’application elle-même. Pour éviter que les hackers n’y parviennent :

  1. Minimisez votre surface d’attaque et rendez les applications invisibles : l’adoption d’une architecture Zero Trust, comme Zscaler Zero Trust Exchange, et plus particulièrement Zscaler Private Access (ZPA), vous permet de cacher toutes vos applications internes et de les rendre parfaitement invisibles sur Internet. Lorsqu’elles sont cachées derrière la plateforme Zero Trust, les hackers ne peuvent ni les trouver ni les exploiter, ce qui protège même les versions vulnérables d’Apache de cette vulnérabilité et de celles à venir, chose impossible avec les VPN et les pare-feu traditionnels.
     
  2. Assurez-vous que seuls les utilisateurs autorisés peuvent accéder aux applications : la cybersécurité est plus efficace lorsque vous pouvez établir une défense en couches dans le cadre d’une plateforme intégrée. Outre le fait de rendre les applications vulnérables invisibles, Zscaler ne permet qu’aux utilisateurs autorisés d’accéder aux applications autorisées par la politique basée sur l’identité immuable des fournisseurs de premier plan tels qu’Azure AD, Okta, Duo ou Ping. Si un hacker n’est pas autorisé à accéder à une application vulnérable, il en sera empêché.

    Si un attaquant réussissait néanmoins à pénétrer dans un réseau d’entreprise, que ce soit en exploitant la vulnérabilité Apache ou par d’autres moyens, il progressera inévitablement dans son attaque en tentant de se déplacer latéralement pour compromettre d’autres systèmes, installer des ransomwares et exfiltrer des données. Vous devez donc :
     

  3. Empêcher les déplacements latéraux grâce à une microsegmentation utilisateur-application et application-application : ZPA découple l’accès aux applications de l’accès au réseau en connectant directement les utilisateurs aux ressources par le biais d’un tunnel inverse qui ne place jamais les utilisateurs sur le réseau. Lorsque l’accès à une application ne requiert pas d’accès au réseau, toute propagation latérale potentielle d’une infection est empêchée, même si celle-ci est déjà établie. En outre, Zero Trust Exchange étend la même politique Zero Trust aux charges de travail du cloud public par le biais de Zscaler Workload Segmentation, ce qui permet de stopper les déplacements latéraux au sein d’un data center ou d’un environnement cloud. Dans les deux cas, la plateforme Zscaler empêche qu’un seul serveur infecté soit exploité pour compromettre toute l’entreprise.
     
  4. Inspecter le trafic entrant et sortant. La visibilité et la surveillance sont les pierres angulaires de Zero Trust. En inspectant tout le trafic, chiffré et non chiffré, vous pouvez bloquer la compromission initiale au moment où les attaquants tentent d’accéder à votre environnement à partir d’Internet. Vous pouvez également stopper les activités postérieures à l’exploitation, comme la communication avec les serveurs de commande et de contrôle ou l’exfiltration de données. Zero Trust Zscaler Internet Access (ZIA) fait les deux. La protection avancée contre les menaces ZIA inspecte le trafic Internet-vers-serveur et serveur-vers-Internet à la recherche d’indicateurs de compromission associés à des exploits connus, ce qui permet de détecter, de bloquer et d’atténuer les attaques.

Si vous souhaitez protéger votre entreprise contre les vulnérabilités zero-day, oubliez vos pare-feu et vos VPN et adoptez une véritable architecture Zero Trust avec Zscaler Zero Trust Exchange.

 

Demandez dès aujourd’hui une démonstration personnalisée de Zero Trust Exchange pour vous aider dans votre démarche.

Effectuez une analyse gratuite de la surface d’attaque Internet pour déterminer si vous possédez une surface d’attaque externe utilisant Apache.

Participez à notre webinaire du mercredi 15 décembre pour obtenir plus de détails et des conseils d’experts sur la vulnérabilité d’Apache.

Restez au courant des dernières astuces et informations concernant la transformation digitale.

En envoyant le formulaire, vous acceptez notre politique de confidentialité.