Au cours des derniers jours, il y a eu un certain nombre de gros titres alarmants sur l'exploit Log4J Shell. Ces gros titres, naturellement, ont suscité une inquiétude considérable pour les équipes de sécurité du monde entier, y compris ici chez OpenVPN.
Alors que de nombreuses entreprises ont répondu aux questions de leurs clients, nous n'étions pas différents. Les tickets d'assistance ont afflué de la part de clients inquiets qui utilisent nos solutions de sécurité logicielles commerciales OpenVPN Cloud et Access Server.
"Nous sommes heureux de confirmer que nos produits ne sont pas affectés par l'exploit Log4Shell," déclare Robert Weiss, responsable de la sécurité de l'information chez OpenVPN.
Les produits et services OpenVPN ne sont PAS affectés par l'exploit Log4Shell.
Notre solution auto-hébergée Access Server n'utilise pas Java et n'est donc pas concernée par Log4j. Aucun correctif ou mise à jour n'est requis par les utilisateurs. Il en va de même pour notre solution basée sur le cloud, OpenVPN Cloud. Aucun correctif n'est nécessaire pour se protéger contre les exploits Log4j avec l'un ou l'autre de nos produits.
La bibliothèque Log4j est largement utilisée et facilement exploitable. “ La vulnérabilité Log4j montre que même l'exécution d'une hygiène de sécurité quotidienne n'aurait pas été suffisante pour vous protéger. Les organisations doivent avoir la capacité de surveiller, de détecter et de répondre aux menaces et aux incidents », explique Weiss.
Les utilisateurs d'OpenVPN Cloud peuvent utiliser la fonction Cyber Shield pour détecter et bloquer le trafic essayant d'exploiter la vulnérabilité Log4j. Le filtrage du trafic Cyber Shield, lorsqu'il est configuré pour bloquer la catégorie de menaces Vulnérabilités/Exploits ou toutes les menaces de gravité critique et élevée, protégera tout le trafic transitant par OpenVPN Cloud contre la vulnérabilité Log4j (CVE-2021-44228). Vous pouvez en savoir plus sur Cyber Shield et comment le configurer ici.
"Tout le monde hérite des risques des organisations avec lesquelles ils travaillent et des logiciels qu'ils déploient. C'est une responsabilité partagée et nous devons protéger et sécuriser l'ensemble de l'écosystème », dit Weiss.
Voici les dernières informations sur l'exploit Log4Shell :
Qu'est-ce que l'exploit Log4Shell ?
La vulnérabilité Apache Log4J2, plus communément appelée « Log4Shell » ou « Log4j », peut être exploitée pour prendre le contrôle à distance de systèmes vulnérables. L'exploit est apparu à l'origine sur des sites hébergeant des serveurs Minecraft. Selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, « The Apache Software Foundation a publié un avis de sécurité pour résoudre une vulnérabilité d'exécution de code à distance (CVE-2021-44228) affectant les versions Log4j 2.0-beta9 à 2.14.1. Un attaquant distant pourrait exploiter cette vulnérabilité pour prendre le contrôle d'un système affecté. Log4j est un utilitaire de journalisation open source basé sur Java, largement utilisé par les applications d'entreprise et les services cloud."
Qui est concerné par Log4Shell ?
Nous ne minimisons en aucun cas la gravité de cette menace. Comme indiqué sur Security Boulevard, "... comme le disent la plupart des experts de Twitter et de la sécurité :cette vulnérabilité est mauvaise. Vraiment mauvais. De nombreux sites Web de premier plan exécutent cet enregistreur.
Si vous lisez ceci, vous êtes probablement un client OpenVPN; nous voulons vous assurer que nos solutions commerciales n'ont pas été impactées .