Détectez et bloquez les tentatives d’exploitation de la vulnérabilité Log4j avec CrowdSec

– En partenariat avec Crowdsec –

Si vous êtes dans la cybersécurité, vous avez probablement passé un très mauvais week-end.

Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228).

L’équipe CrowdSec a retroussé ses manches pour développer un scénario capable de détecter et de bloquer les tentatives d’exploitation de cette vulnérabilité. Vous pouvez le télécharger directement depuis le CrowdSec Hub et l’installer en un clin d’œil.

L’efficacité de CrowdSec reposant sur la puissance de la foule et compte tenu de la taille de leur communauté croissante, la solution a déjà collecté un grand nombre d’adresses IP qui tentent d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici. Il est mis à jour très fréquemment et il va de soi que vous devez immédiatement bloquer ceux qui sont marqués comme « validés ».

Ces adresses IP ont été sélectionnées par l’algorithme de consensus de la solution, ce qui signifie qu’elles ont reçu de nombreux votes négatifs de leur réseau d’utilisateurs. Ceux marqués comme « données insuffisantes » sont très suspects mais peuvent toujours contenir des faux positifs. Les adresses classées comme « bénignes » sont utilisées par des personnes qui sont généralement du bon côté de la force, pour aider, scanner et non à des fins malveillantes.

Vous pouvez également utiliser leur mode replay, ou forensics, pour analyser les logs de vos serveurs afin de vérifier si une exploitation Log4j a été tentée sur l’une de ces IP, par qui et quand, en utilisant le scénario approprié et la ligne de commande ci-dessous :

sudo cscli hub update
sudo cscli scenarios install crowdsecurity/apache_log4j2_cve-2021-44228
sudo systemctl reload crowdsec

# sudo crowdsec --dsn "file://<log_file_path>" -no-api --type <log_type>
sudo crowdsec --dsn "file:///var/log/nginx/access.log" -no-api --type nginx

sudo cscli alerts list --scenario crowdsecurity/apache_log4j2_cve-2021-44228

Si vous souhaitez accéder à plus de détails sur cette IPS open source et collaborative, qui est capable de détecter et de bloquer de nombreux comportements malveillants, tout en vous permettant de collaborer entre cyberdéfenseurs en échangeant des IP bloquées, rendez-vous sur leur site internet ou leur référentiel. GitHub.

A voir également  Meilleures alternatives à l'application Samsung Notes la plus populaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page