Patch virtuel

Le patch virtuel (également appelé patching externe ou patching juste-à-temps) est une technique de sécurité où des règles WAF sont créées pour bloquer l'exploitation de vulnérabilités connues sans changer le code de l'application sous-jacente. Cela fournit une protection immédiate pendant que les équipes de développement travaillent sur des correctifs de code permanents.

Le patch virtuel est précieux quand :

• Une vulnérabilité zero-day est annoncée avant qu'un patch soit disponible
• Les applications legacy ne peuvent pas être facilement patchées
• Les tests et le déploiement des patchs prennent du temps
• Des composants tiers ont des vulnérabilités non patchées
• Une protection d'urgence est nécessaire immédiatement

Les patchs virtuels fonctionnent en :

• Bloquant des patterns de requêtes spécifiques qui exploitent les vulnérabilités
• Filtrant les payloads malveillants avant qu'ils n'atteignent l'application
• Validant les entrées par rapport aux patterns attendus

Lorsque la vulnérabilité Log4Shell a été divulguée, les fournisseurs WAF ont rapidement publié des patchs virtuels qui bloquaient les tentatives d'exploitation contenant le pattern ${jndi:ldap://, protégeant les applications avant que les patchs logiciels ne soient disponibles.