Log4shell – identifier automatiquement vos services vulnérables

Comment détecter automatiquement les nouvelles failles expoitables sur vos serveurs et y remédier.

Suite à la faille mondiale notée 10/10 concernant log4j (CVE-2021-44228), je me suis attelé à trouver un outil rapide simple et efficace afin de scanner l’ensemble de nos services externes pour voir si nous étions impactés.

OpenVAS

En premier lieu, j’ai pensé à la version opensource de Nessus : OpenVAS maintenant intitulé Greenbone.

Vous pouvez très facilement l’installer sur HELM via un repository github :

helm install gvm \
    https://github.com/admirito/gvm-containers/releases/download/chart-1.3.0/gvm-1.3.0.tgz \
    --namespace gvm --set secrets.gvmdPassword="mypassword"

Il faudra ensuite seulement publier votre déploiement gsad qui est sur le port 80 via un ingress.

Toute une documentation sur l’usage de greenbone se trouve ici (notamment les syncs des différents feeds qui sont primordiaux) : https://docs.greenbone.net/

HostedScan.com

Simple, facile d’utilisation et directement expoitable, dans une version gratuite vous permettant de scanner environ une dizaine de serveurs par mois, il y a : https://hostedscan.com/

Je l’ai testé, il permet de détecter la faille log4j sur vos hôtes avec une grande efficacité et vous génère des rapports complets vous permettant de voir l’ensemble des CVE potentiels vous impactant.

A l’analyse, j’ai bien retrouvé la signature typique de l’expoit log4shell :

<HTTP_REQUEST>: Pragma: no-cache  Cache-Control: no-cache  User-Agent: Mozilla/5.0 [en] (X11, U; OpenVAS-VT 21.4.3)  Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*  Accept-Language: en  Accept-Charset: iso-8859-1,*,utf-8  Authorization: ${jndi:ldap://10.88.0.2:41101/a}  X-Forwarded-Proto: https  X-Forwarded-For: 139.177.201.166

Il vous génère des rapports très bien faits exportables en PDF :

L’ajout de scans est très simple et vous avez plusieurs types (openVAS, OWASP pour la détection des failles de vos sites Web, etc.) :

Vous pouvez planifier les rapports avec une fréquence quotidienne, hebdomadaire ou mensuelle :

Vous pouvez aussi recevoir un email automatique afin de voir si de nouvelles failles sont apparues sur votre serveur. Ce qui est très pratique pour suivre l’évolution des différents CVE qui apparaissent régulièrement, vous saurez directement si vous êtes impacté ou pas.

Je conseille fortement cet outil, malgré la limitation à 10 analyses par mois dans la version gratuite. La version illimitée vous revient à 30€ par mois ce qui me semble raisonnable pour un outil de ce type.