ExpressVPN, un service de VPN, a déployé une couche de sécurité contre la vulnérabilité Log4J. Tous les utilisateurs d’ExpressVPN bénéficient désormais de cette protection lorsque le VPN est activé.
La vulnérabilité critique de type zero-day (CVE-2021-44228) est grave. Une démonstration de son exploitation a été réalisée dans Minecraft, et de nombreux services et applications bien connus comme iCloud, Steam, Amazon et Twitter, ont été identifiés comme étant vulnérables.
Cette nouvelle couche de sécurité pour ExpressVPN a été mise en œuvre à 09:30 GMT aujourd’hui, et est disponible sur tous les serveurs ExpressVPN dans le monde. Le déploiement ayant été réalisé du côté des serveurs, aucune action de la part des utilisateurs n’est requise.
« De nombreuses applications et services sur lesquels nos clients comptent sont affectés. Étant donné que LDAP est un protocole réseau, nous avons vu une opportunité pour nous, en tant que VPN, de fournir une couche de protection essentielle contre cette vulnérabilité“, a expliqué Peter Membrey, Chief architecte chez ExpressVPN.
Le blocage des ports
L’entreprise a choisi un dispositif de blocage de ports. « Nous avons identifié Log4Shell comme une vulnérabilité reposant sur LDAP et Java RMI, il y avait donc deux chemins potentiels pour la surmonter : le blocage basé sur les ports et le blocage basé sur les paquets. Nous avons immédiatement mis en œuvre la solution de blocage basée sur les ports, car il s’agissait de la solution la plus rapide à commercialiser et une réponse rapide était cruciale pour minimiser l’impact de cette vulnérabilité à l’échelle mondiale.
Mais ExpressVPN compte déployer prochainement la deuxième méthode, “sans impact négatif sur la confidentialité“. La solution n’est donc pas miraculeuse, mais a le mérite d’exister.
ExpressVPN recommande de mettre à jour les paramètres de pare-feu pour bloquer le trafic sortant sur les ports non standard, en particulier sur ceux connus pour être utilisés par Log4Shell (RMI – 1099, LDAP – 389, 636, 1389, 3268, 3269 ou autre). Activez les mises à jour automatiques pour vos applications ou mettez-les à jour manuellement si un correctif de sécurité est disponible.