À ce stade, personne dans le domaine de la sécurité n'est étranger à la vulnérabilité JNDI de Log4J. Elle a fait grand bruit dans le secteur et a ruiné plus d'un projet de vacances. À la base, Log4J est une vulnérabilité d'injection qui permet aux attaquants d'exploiter les systèmes via l'exécution de code à distance. Dans le domaine public cloud (en particulier AWS), cela peut se manifester par l'extraction par un attaquant de secrets stockés dans des variables d'environnement. Outre les secrets stockés de manière statique, notre équipe de recherche en sécurité chez Vectra a récemment mis en évidence des méthodes permettant d'utiliser la vulnérabilité d'injection Log4j pour extraire des informations d'identification temporaires à partir de la plus grande surface d'attaque dans AWS - l'instance EC2.
De nombreux articles traitent de la manière de sécuriser une organisation contre la vulnérabilité Log4j afin de limiter le rayon d'action d'une compromission connexe - de l'installation de correctifs à la rotation des informations d'identification. Cependant, il est important de comprendre qu'il y a certains défis à relever si l'on s'en remet uniquement à ces moyens de remédiation. Notamment :
- Tous les systèmes ne peuvent pas être corrigés rapidement, ce qui laisse une fenêtre d'exposition. Le déploiement des correctifs prend du temps et, dans de nombreux cas, il existe une dépendance vis-à-vis de fournisseurs ou de prestataires de services qui échappent au contrôle des services informatiques.
- Il y aura une prochaine fois. L'exploit Log4J ne sera certainement pas le dernier que nous rencontrerons. En se contentant de limiter le rayon de l'explosion, les attaquants disposent de trop de temps dans les environnements pour infiltrer des actifs sensibles et causer des dégâts.
- Une fois que l'attaquant est entré, les correctifs apportés aux points de compromission initiale ne seront pas d'une grande utilité. L'attaquant peut extraire différentes informations d'identification, progresser dans les machines, établir des canaux de commande et de contrôle par le biais de serveurs, de conteneurs ou de code sans serveur et avoir un impact négatif sur les actifs, les services et les données de l'organisation, ce qui entraîne une interruption de l'activité et une perte de données sensibles.
La dépendance excessive à l'égard des correctifs et de la restauration post-compromission a conduit le SOC à rattraper constamment l'exploit du jour. Ce qu'il faut, en plus des correctifs, c'est la capacité de détecter rapidement la progression des attaquants une fois qu'ils sont entrés, afin de fournir une protection résiliente, quel que soit le prochain exploit.
La détection de la progression des attaques sur le site Cloud est un problème difficile à résoudre.
Il est extrêmement difficile de suivre le comportement des entités et d'identifier les modifications apportées à un environnement cloud en temps réel. De plus, il peut être pratiquement impossible de faire la différence entre un utilisateur normal disposant d'informations d'identification et un attaquant malveillant utilisant les mêmes informations d'identification compromises.
Mais ne vous inquiétez pas, nous avons de bonnes nouvelles :Vectra Detect for AWS vous couvre.
Detect for AWS utilise l'IA axée sur la sécurité pour détecter le comportement des attaquants dans le plan de contrôle AWS. Par exemple, Vectra déclenche le message "AWS Suspicious Credential Usage" lorsque les informations d'identification d'une instance EC2 sont utilisées en dehors de l'espace IP AWS. Cela facilite l'identification des informations d'identification volées (à partir de l'exécution de code à distance à l'aide de Log4J) utilisées pour accéder aux ressources. À l'intérieur du périmètre, Detect surveille en permanence les comptes et les services dans toutes les régions afin d'identifier rapidement les comportements malveillants des attaquants dans la chaîne d'exécution cloud (découverte, mouvement latéral et exfiltration). Voici quelques exemples de voies d'attaque qu'un attaquant peut emprunter :
- Accéder aux fonctions AWS Lambda et les modifier pour effectuer des actions qui profitent à l'attaquant. Detect identifie et met en évidence les occurrences de détournement de lambda.
- Diverses techniques d'escalade des privilèges, y compris la création de nouveaux profils d'utilisateur pour maintenir la persistance. Detect identifie le comportement associé à l'octroi de privilèges d'administrateur et surveille la création de nouveaux profils d'utilisateur.
- L'utilisation de ressources AWS dans des régions non surveillées et l'exposition de ressources au public. La détection déclencherait des alertes montrant l'activité dans des régions précédemment inutilisées et attirerait l'attention sur les instances où les ressources sont exposées au monde extérieur.
De la modification des ressources aux tentatives d'escalade des privilèges et d'exfiltration des données, Detect assure une couverture sans angles morts. Grâce à l'IA axée sur la sécurité de Vectra, Detect attribue toutes les actions à un donneur d'ordre, même s'il agit à travers une chaîne de rôles supposés, afin d'évaluer si l'activité, et donc le donneur d'ordre, doit être considérée comme malveillante. Cela signifie qu'un analyste SOC n'a pas à perdre de temps à identifier le principal qui a été compromis.
En outre, grâce à la fonction d'investigation instantanée, Detect fournit un contexte critique sur les actions effectuées par le principal mis en évidence au moment de l'activité suspecte. Cela inclut, entre autres, les services utilisés, l'historique des rôles assumés et les régions dans lesquelles le principal était actif. Croyez-le ou non, ces informations qui prenaient traditionnellement des heures à trouver sont désormais disponibles en un seul clic grâce aux enquêtes instantanées !
Alors que les empreintes cloud augmentent de façon exponentielle, les attaquants n'ont besoin que d'une seule ouverture pour infiltrer les environnements cloud et créer des portes dérobées pour établir la persistance. Log4J n'est pas la première et ne sera certainement pas la dernière des nombreuses vulnérabilités que les attaquants exploitent pour compromettre les empreintes cloud . Les infrastructures sont incroyablement complexes et englobent des dizaines de services qui, dans les pipelines DevOps modernes, sont en constante évolution. Plus la vitesse et l'agilité augmentent, plus le risque d'introduire des problèmes de sécurité augmente. L'identification précoce de ces vecteurs d'attaque est essentielle pour atténuer les risques et faciliter des stratégies de réponse sagaces. Dans le monde d'aujourd'hui où les déploiements de cloud augmentent à un rythme jamais vu, l'importance d'équiper le SOC avec les bons outils ne peut pas être surestimée et Detect constitue un formidable ajout à l'arsenal du SOC. C'est passionnant ? En savoir plus sur Detect et s'inscrire pour un essai gratuit.