L'annonce du Gouvernement du Québec le 12 décembre dernier concernant la fermeture de près de 4000 sites et services en ligne, en rapport avec une faille de sécurité sur les serveurs, a mis plusieurs personnes sur les dents dans les derniers jours. Nous compris!
Ça nous vous dit rien? Lisez cet article de La Presse pour vous rattraper : Faille de sécurité : Québec et Ottawa ferment des sites et services internet gouvernementaux
Dès les premiers drapeaux rouges levés, nos équipes se sont affairés à faire les vérifications nécessaires sur nos serveurs afin de valider si la vulnérabilité était présente en nos rangs. Bonne nouvelle : plus de peur que de mal. On a cru bon vous informer des actions prises et des conclusions que nous en avons tirées.
Vérifier si Java est installé sur le serveur. Si Java est installé, vérifier les programmes, processus et fichiers qui en font usage et lire les releases et recommandations des distributeurs du software concerné.
Java n'est installé globalement sur aucun de nos serveurs.
Vérifier si des applications Java pré-compilées sont utilisés sur nos serveurs. Si présentes, vérifier si elles utilisent log4j.
Aucune application Java pré-compilée à risque n'a été détectée.
Des applets Java sont présentes (quoique peu utilisées) dans certains sites web plus anciens hébergés sur notre serveur, mais ils n'utilisent pas log4j.
Vérifier si log4j est installé directement sur le serveur.
Ce n'est le cas dans aucun de nos serveurs. Aucune action plus poussée à ce niveau.
Vérifier si des configurations, des scripts ou autres fichiers mentionnent log4j ou les termes associés.
Analyser chacun des résultats afin de déterminer si ce sont des faux positifs (ex.: librairie Javascript log4js, librairie Python ou Ruby inspirée de log4j, etc.) ou une utilisation réelle de log4j.
Aucun fichier relié à log4j n'a été détecté.
Vérifier les security releases des applications/programmes/scripts/services qui ont accès au network et/ou qui pourrait produire des logs suite à des requêtes HTTP, afin de savoir si le software a été analysé et considéré comme vulnérable, ou si des mises à jour de sécurité sont disponibles suite à la vulnérabilité.
Aucun software vulnérable n'est utilisé sur nos serveurs.
Des mises à jour de sécurité additionnelles ont tout de même été mises en place afin de contrer d'éventuelles ouvertures à cette vulnérabilité.
Vérifier la liste maintenue par la NCSC-NL par rapport au statut des softwares pour la CVE-2021-44228, afin d'être certain de ne pas utiliser de services ou de software affectés.
Aucun software/service vulnérable utilisé sur nos serveurs.
Analyser les logs du serveur afin de vérifier si des tentatives d'injection de code ont eu lieu. Si des tentatives ont eu lieu, vérifier le résultat de celles-ci.
Quelques tentatives d'injection ont eu lieu, mais tout indique que celles-ci ont soit été bloquées à la source par des systèmes de sécurité sur nos serveurs, soit ont été non-fructueuses puisque nous n'utilisons pas de services ou de programmes vulnérables.
En terminant, bien que la grosse adrénaline soit maintenant derrière nous, nous demeurons à l'affût et proactifs. Voici comment:
