Le 9 décembre 2021, une grave vulnérabilité d'exploitation de code à distance (RCE), "Log4Shell", a été divulguée dans log4j, une bibliothèque de journalisation maintenue par la Fondation Apache et utilisée par d'innombrables applications Java dans le monde. Ce qui rend cette vulnérabilité plus dangereuse que la plupart des autres, c'est l'adoption généralisée de cette bibliothèque par un grand nombre d'applications. Ce bogue n'affecte pas un seul service ou produit, mais tout service ou produit qui utilise l'API Log4j2, ce qui est beaucoup. Un attaquant peut créer une charge utile malveillante qui incite un serveur à charger un code exécutable à partir d'un emplacement contrôlé par l'attaquant, ce qui entraîne l'exécution de code à distance (RCE) avec les niveaux de permission de l'utilisateur qui exécute le service.
Il est difficile d'analyser directement log4j car il ne s'agit pas d'un service ou d'une application, mais plutôt d'une bibliothèque intégrée à de nombreuses autres applications. Nous ne pouvons donc analyser que les applications dont nous savons qu'elles utilisent cette bibliothèque. Censys a décidé d'ajouter de nouvelles conclusions dans des mises à jour progressives, au fur et à mesure que de nouveaux indicateurs sont découverts et que les fournisseurs communiquent leurs résultats. Pour gagner du temps, nous avons également décidé de ne couvrir que les logiciels et les services présentant une grande visibilité et des vulnérabilités vérifiables (confirmation du développeur).
Étant donné que les informations sur l'impact de cette vulnérabilité sont à la fois vastes et limitées, Censys mettra régulièrement à jour ce billet en y ajoutant les logiciels vulnérables au fur et à mesure que les nouvelles arriveront. Le lecteur doit noter que tous les logiciels que nous signalons ne sont pas vulnérables, et que tous les logiciels vulnérables ne sont pas répertoriés. Nous présentons ci-dessous les logiciels affectés les plus populaires que nous avons trouvés sur Internet :
Apache Solr
Liens rapides
Le premier est Apache Solr. Solr est une plateforme Java open-source qui utilise le moteur de recherche Lucene pour fournir une indexation et une recherche de documents RESTful. Le 10 décembre 2021, l'équipe Solr a confirmé que le projet était vulnérable à cette attaque pour les versions 7.4.0 à 7.7.3 et 8.0.0 à 8.11.0. Les versions antérieures à la 7.4 n'utilisent pas log4j2, mais une ancienne bibliothèque log4j qui peut être vulnérable pour les installations de Solr avec des configurations de journalisation personnalisées.
Censys peut identifier les services Solr basés sur le tableau de bord administratif Solr en utilisant le titre HTML "Solr Admin" et en le faisant correspondre à différents éléments dans le corps de la réponse HTTP qui semblent indiquer quelle version est en cours d'exécution. Par exemple, les éléments HTML suivants restituent la version balisée du logiciel en cours d'exécution (notez le "?_=8.9.0" à la fin de chaque lien) :
<link rel="shortcut icon" type="image/x-icon" href="img/favicon.ico?_=8.9.0">
En combinant ces deux modèles, nous avons constaté que sur les 2 399 instances uniques que nous avons trouvées en cours d'exécution, le nombre de services relevant de la plage de vulnérabilité de log4j2 s'élève à 1 398.
Nous avons découvert que sur les 2 399 instances uniques de Solr sur l'Internet public, 1 398 serveurs utilisent des versions vulnérables et sont susceptibles d'être exploités. Nous présentons ci-dessous les versions vulnérables connues et le nombre de services indexés par Censys.
Si la version de Solr est antérieure à la version 7.4, bien qu'elle ne soit pas vulnérable par défaut, elle peut l'être si un administrateur a configuré une journalisation personnalisée. Par mesure de précaution, le tableau ci-dessous présente toutes les versions connues d'Apache Solr que Censys a pu localiser.
Solr est un moteur de base de données dorsal qui n'est pas destiné à être exposé au public, et nous encourageons les opérateurs à restreindre l'accès public à Solr, quelle que soit la version utilisée.
UniFi
Liens rapides
L'application UniFi Network fonctionne sur le produit Cloud Key ou Cloud Controller, ce qui permet à un utilisateur d'administrer son équipement UniFi via Internet. Les développeurs d'UniFi ont noté dans leur déclaration que les versions suivantes du logiciel incluent une version vulnérable de log4j2 :
- 6.5.54 et antérieures
- 6.4.54 et antérieures
- 6.3.51 et antérieures
- 6.2.26 et antérieures
- 6.1.71 et antérieures
- 6.0.45 et antérieures
- 5.14.25 et antérieures
- 5.13.33 et antérieures
- 5.12.72 et antérieures
- 5.11.52 et antérieures
- 5.10.27 et antérieures
- 5.9.33 et antérieures
- 5.8.30 et antérieures
- 5.7.28 et antérieures
- 5.6.42 et antérieures
Il y a actuellement deux façons de déterminer la version exacte d'un appareil UniFi. Les anciennes versions 5.x incluront la version dans le corps du tableau de bord principal comme la valeur de la chaîne suivante : "window.unifiConfig.version". Les versions 6.x plus récentes référencent un nom de fichier préfixé par "angular" et suffixé par un hachage unique. Un analyste peut utiliser ce hachage pour faire correspondre l'URI à la version réelle du logiciel ; par exemple, "/manage/angular/g1bfe798f1/js/index.js"peut être associé à la version 6.1.70.0.
Note: Les lecteurs trouveront une liste des correspondances entre URI et versions à la fin de ce document.
En utilisant cette empreinte digitale et les correspondances de hachage, Censys a déterminé qu'il y avait 85 328 services UniFi Network potentiellement vulnérables sur Internet, dont seulement 1 876 utilisaient la dernière version 6.5.54 du logiciel. L'histogramme ci-dessus montre les versions vulnérables et le nombre de services découverts. Bien qu'il n'y ait pas encore eu d'exploit pour les appareils UniFi en particulier, il est recommandé aux utilisateurs de mettre à jour et d'examiner s'ils ont besoin d'avoir des services UniFi exposés publiquement.
Base de données
Liens rapides
Metabase est un produit de reporting open-source utilisé pour créer des graphiques et des tableaux de bord. À l'heure où nous écrivons ces lignes, Censys n'a pas trouvé d'annonce de Metabase. Cependant, il y a eu plusieurs nouveaux tags dans le dépôt Github de Metabase qui font référence à des correctifs pour cette CVE:
- v1.40.7
- v1.39.7
- v1.38.6
- v0.41.4
- v0.40.7
- v0.39.7
- v0.38.6
Le tableau ci-dessous présente les différentes versions de Metabase que nous avons pu identifier, ainsi que le nombre de services trouvés pour chaque version.
Il est facile d'obtenir la version exacte d'une installation de Metabase car le service incorpore la balise git et la branche de publication sous forme de texte dans le corps de la page d'accueil. En recherchant le CPE Metabase sur Censys, nous pouvons récupérer le contenu du service, qui contient des éléments HTML tels que les suivants :
"version":{"date":"2021-08-03","tag":"v0.40.2",branch":"release-x.40.x", hash":"b884d29"}
En analysant la version à partir de ces données, Censys a découvert que 19 287 services utilisent potentiellement une version vulnérable du logiciel Metabase. Vous trouverez ci-dessous les 10 principales versions de Metabase Censys trouvées sur Internet.
| Les 10 meilleures versions |
Compter |
| v0.41.3 |
1,531 |
| v0.41.2 |
1,504 |
| v0.41.1 |
1,037 |
| v0.41.0 |
701 |
| v0.40.2 |
680 |
| v0.40.5 |
660 |
| v0.39.4 |
591 |
| v0.31.2 |
552 |
| v0.38.0 |
522 |
| v0.35.4 |
512 |
Pagerduty Rundeck
Liens rapides
Le 11 décembre 2021, Rundeck by Pagerduty a publié une déclaration indiquant que les versions 3.4.6 et antérieures étaient vulnérables à l'attaque log4j. À l'heure où nous écrivons ces lignes, Censys a pu trouver 1 274 services qui s'identifient comme des instances de Rundeck et seulement quatre hôtes qui utilisent la version 3.4.7 corrigée du logiciel. Pour déterminer la version exacte du logiciel, chaque page d'accueil du panneau d'administration comprendra un lien vers la documentation du logiciel, qui se compose de la version du service en cours d'exécution. Par exemple :
<a href="https://docs.rundeck.com/3.3.0?utm_source=rundeckapp”>
Vous trouverez ci-dessous un tableau de toutes les versions découvertes du service Rundeck et le nombre d'hôtes associés à chacune d'entre elles.
Neo4j
Liens rapides
Neo4j est un système de base de données graphique populaire qui comprend une interface ACID pour le stockage et l'analyse des graphes. Les développeurs de Neo4j ont reconnu que toute version postérieure à la 4.2 incluait une version vulnérable du paquet Log4j2, et jusqu'à ce qu'une version complète soit publiée, ils recommandent que les configurations suivantes soient mises en place dans "neo4j.conf" :
dbms.jvm.additional=-Dlog4j2.formatMsgNoLookups=true
dbms.jvm.additional=-Dlog4j2.disable.jmx=true
Au moment de la rédaction de ce document, Censys a pu identifier plus de 4 000 services qui s'identifient comme des services neo4j. Le tableau ci-dessous indique les versions vulnérables ainsi que le nombre de services trouvés.
Que puis-je faire ?
Censys continue de surveiller la situation et d'élaborer de nouvelles empreintes digitales et de nouveaux risques pour nos clients ASM au fur et à mesure que de nouveaux rapports de logiciels vulnérables nous parviennent. Veuillez vous référer à l'une des listes de composants et d'applications vulnérables établies par la communauté pour vérifier si des actifs sont susceptibles d'être touchés par cette attaque.
Censys Les clients d' ASM ont désormais accès à plusieurs risques qui détectent les logiciels répertoriés comme vulnérables à l'attaque log4j. Tous les logiciels ci-dessous comprennent une gamme de versions de services dont Censys est en mesure d'extraire les versions.
- Apache Solr(peut détecter les versions vulnérables)
7.4.0 - 7.7.3et 8.0.0 - 8.11.0
- Application réseau UniFi: (
< 6.5.54, < 6.3.51, < 6.2.26, < 6.1.71, < 6.0.45, < 5.14.25, ` < 5.13.33`, < 5.12.72, < 5.11.52, < 5.10.27, < 5.9.33, < 5.8.30, < 5.7.28, < 5.6.42
- Base de données:
< 1.40.7, < 1.39.7, < 1.38.6, < 0.41.4, < 0.40.7, < 0.39.7, < 0.38.6
- PagerDuty Rundeck :
< 3.4.7
- Neo4j:
>= 4.2
- VMWare Horizon
- VMWare VCenter Server
- VMWare Site Recovery Manager
- Druide apache
- Apache Flink
- Sonicwall Email Security
- Solarwinds
- Serveur Tableau
- Graylog
- Moteur de diffusion Wowza
- Apache OpenShift
- Cloudera Ambari
- Apache James
- Contrôle Connectwise
- Cloudera Jetty
- Avaya
- Apache Coyote
- CPanel
- Elasticsearch
- Cisco IMC
- JAMF
- RedHat JBOSS
Références
UniFi 6.x URI to Version Mappings (correspondances entre URI et version)
| URI |
Version |
| /manage/angular/g4a47a06 |
6.0.41.0 |
| /manage/angular/g438457d |
6.0.23.0 |
| /manage/angular/gcf519ebb9 |
6.5.54.0 |
| /manage/angular/g7989b19 |
5.13.29.0 |
| /manage/angular/gf2f1a60 |
6.0.43.0 |
| /manage/angular/g6a7f21d |
6.0.22.0 |
| /manage/angular/gbf6d377 |
6.0.36.0 |
| /manage/angular/gb022025 |
5.14.22.0 |
| /manage/angular/gcc0bcf720 |
6.5.51.0 |
| /manage/angular/g20ab6be |
6.0.28.0 |
| /manage/angular/g61b7dd794 |
6.5.52.0 |
| /manage/angular/gf3b4dc4 |
5.14.23.0 |
| /manage/angular/ga88c834 |
5.13.32.0 |
| /manage/angular/ga96206ecf |
6.2.25.0 |
| /manage/angular/g57548a154 |
6.0.45.0 |
| /manage/angular/gfb0d849a1 |
6.1.71.0 |
| /manage/angular/g5444e99cd |
6.2.26.0 |
| /manage/angular/g9c8f4ab88 |
6.4.54.0 |
| /manage/angular/g2e6f199fa |
6.5.53.0 |
| /manage/angular/g61b7dd794 |
6.5.52.0 |
| /manage/angular/g6a7f21d |
6.0.22.0 |
| /manage/angular/ga94ebb3 |
6.0.20.0 |
| /manage/angular/g7109cc6f6 |
6.2.23.0 |
| /manage/angular/g527aa123f |
6.2.17.0 |
| /manage/angular/ge08fb9372 |
6.1.67.0 |
| /manage/angular/g336c97bfb |
6.5.50.0 |
| /manage/angular/gfaf0cbe4b |
6.5.45.0 |
| /manage/angular/gcd8182f89 |
6.4.47.0 |
| /manage/angular/gf82b22e |
6.0.24.0 |
| /manage/angular/g1bfe798f1 |
6.1.70.0 |
