Il prend sa revanche en mettant hors service tout le réseau Internet de la Corée du Nord

 

Il prend sa revanche en mettant hors service tout le réseau Internet de la Corée du Nord

Par:André Boily 

  Mardi, 8 février 2022 21:54 MISE À JOUR Mardi, 8 février 2022 21:54

Parce qu’il s’est fait pirater par la Corée du Nord, un informaticien habile a pris une solide revanche en mettant hors service tout le réseau Internet de l’État-voyou. Rien de moins!

Pirate indépendant au nom de code P4x, il a lui-même été piraté il y a un an par des agents nord-coréens qui visaient des chercheurs en sécurité occidentaux. Ces espions voulaient voler des logiciels de piratage et des informations sur les vulnérabilités des logiciels.

Bien que ces espions n’ont pu lui subtiliser quoi que ce soit, il s’est senti profondément troublé d’avoir été visé par des pirates parrainés par un État-voyou comme la Corée du Nord et aussi par le manque de soutien du gouvernement américain.

La contre-attaque par déni de service

Un an plus tard, se disant que si on ne faisait rien, les pirates allaient poursuivre les attaques. P4x ne prit les choses en main avec rien de moins que l’objectif de faire tomber tout le réseau nord-coréen! «Je veux qu'ils comprennent que si vous vous en prenez à nous, cela signifie qu'une partie de votre infrastructure va tomber pour un moment», dit-il au magazine Wired.

Wikipédia

À partir de vulnérabilités non corrigées dans les systèmes nord-coréens, P4x a trouvé le moyen de mettre à genoux les réseaux et serveurs de l’État-voyou. Comment? Par une cyberattaque somme toute très classique par déni de service (DDoS) qui submerge de requêtes les systèmes informatiques d’une organisation ou d’un pays afin de le rendre inopérant et d’en bloquer l’accès aux utilisateurs.

Sans révéler publiquement toutes les vulnérabilités exploitées, il a indiqué à titre d’exemple un bogue connu du logiciel de serveur Web NginX qui gère mal les en-têtes d’adresses http, lequel a servi à inonder de requêtes les serveurs.

La Corée du Nord roule Linux

Fait intéressant, on apprend par P4x que le système d’exploitation du pays, connu sous le nom de Red Star OS, n’est rien d’autre qu’une ancienne version du système Linux probablement vulnérable.

P4x qui exécute des simulations d’attaques pour tester la solidité des réseaux de ses clients précise que sa cyberattaque menée en Corée du Nord fut un test de pénétration réseau moyennement facile, toujours selon le magazine Wired.

Résultat du piratage, presque tous les sites Web nord-coréens étaient hors service et seuls ceux situés en dehors du pays n’ont pas été affectés, comme le site d'informations Uriminzokkiri.com.

Photo AFP

Si les armes ne servent qu'à des démonstrations de force, les attaques informatiques de la Corée du Nord sont monnaie courante.

Panne totale confirmée

Le chercheur en cybersécurité, Junade Ali, qui surveille les réseaux nord-coréens a confirmé les mystérieuses attaques à grande échelle sur les réseaux du pays, et ce sans savoir la moindre idée de qui les menait. Il a vu d’importants routeurs tomber en cascade au point de fermer l’accès Web, mais aussi les messageries : «une panne totale d’Internet affectant tout le pays». P4x précise que sa cyberattaque n’a pas coupé l’accès sortant des Nord-Coréens au reste d’Internet.

Si l’exploit technique est bien réel, surtout pour un seul pirate anonyme, sur l’ensemble du pays, il faut quand même relativiser cette panne d’Internet où seule une petite minorité a accès à des ordinateurs connectés à Internet, souligne le chercheur Martyn Williams, du projet 38 North. Il précise que la population n’a accès qu’à l’intranet déconnecté du pays et que la cyberattaque n’a mis hors service que les serveurs surtout utilisés pour la propagande et les autres fonctions destinées à un public international.

P4x confirme cela en disant qu’il n’avait pas l’intention de cibler la population du pays, mais autant que possible le gouvernement.

Pochains objectifs

L’expert P4x a maintenant l'intention d'essayer de pirater plus à fond les systèmes nord-coréens, dit-il, pour voler des informations et les partager avec des experts. En même temps, il espère recruter d'autres hacktivistes pour sa cause grâce à un site Web obscur appelé Projet FUNK, c'est-à-dire "FU North Korea" (inutile de traduire), dans l'espoir de générer une plus grande force de frappe collective. 

 

REF.:   https://www.journaldemontreal.com/2022/02/08/il-prend-sa-revanche-en-mettant-hors-service-tout-le-reseau-internet-de-la-coree-du-nord

 

 

Une règle fail2ban contre la vuln log4j

@Korben  —  17 décembre 2021

Si vous êtes encore en train de lutter avec la faille log4j, il y a des tas de techniques pour parer l’attaque comme vous pouvez le lire ici ou grâce à Crowdsec. Mais même si vous avez tout patché et que vous ne risquez plus rien, il y a probablement des tas de rigolos qui tentent quand même leur chance. Et ça pourrit vos logs.

La meilleure solution serait donc de bannir toutes les IPs qui tentent d’exploiter cette vulnérabilité.

Jay Caines-Gooby a mis en ligne sur son site une règle fail2ban qui détecte et bannit immédiatement les IPs des affreux qui jouent avec log4j.

Pour cela, ajoutez la règle suivante dans /etc/fail2ban/jail.local

[log4j-jndi]
maxretry = 1
enabled = true
port = 80,443
logpath = /path/to/your/*access.log

Puis créez le fichier

/etc/fail2ban/filter.d/log4j-jndi.conf

et mettez y la définition regex suivante :

[Definition]
failregex   = (?i)^<HOST> .* ".*$.*(7B|{).*(lower:)?.*j.*n.*d.*i.*:.*".*?$

Et voilà !

Merci à Henri pour l’info et si vous voulez suivre les discussions sur cette règle Fail2Ban, le gist du code est ici.

 

REF.:   https://korben.info/fail2ban-log4j.html?fbclid=IwAR24UIAhp3zRokF5-gpbBRpQN_i38YWtGEEhGWkl73ZhGNJWJezN7Vo2bRg

Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

 Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft

Fanny Dufour

10 décembre 2021 à 12h50

 

Une zero day critique a été trouvée dans Log4j permettant à des attaquants de réaliser des attaques d'exécution de code à distance.

Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud .

Une faille critique facile à exploiter

Log4j est un outil de journalisation développé par la fondation Apache et utilisé dans de nombreux logiciels et services Cloud, ce qui explique pourquoi la faille zero day qui le touche est aussi critique. Rapportée initialement à Apache par l'équipe de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est désormais définie comme la CVE-2021-44228. Elle permet à des attaquants de créer des requêtes malveillantes pour exécuter du code à distance et prendre le contrôle total d'un serveur, tout ça sans authentification.

Dans la nuit, plusieurs preuves de concept de son exploitation ont été postées. À la suite de ça, il a été rapporté que plusieurs acteurs malveillants scannaient Internet à la recherche de systèmes vulnérables à attaquer. « En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons que des groupes de ransomwares vont commencer à exploiter cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.

De nombreuses applications concernées

Pour le moment, il est compliqué d'avoir une liste complète d'applications touchées, la faille impactant les configurations par défaut de nombreux frameworks Apache, que ce soit Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».

LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont rapporté que des hackers pouvaient exécuter du code à distance sur les serveurs ou clients utilisant la version Java du jeu grâce à de simples messages dans le chat.

Les joueurs de Minecraft sont donc appelés à faire preuve d'une grande prudence, à ne pas se connecter à des serveurs inconnus et à ne pas communiquer avec des joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2 , le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.

WoW que dire des Banques maintenant ;-)

REF.:   https://www.clubic.com/antivirus-securite-informatique/actualite-398148-une-faille-zero-day-dans-log4j-cree-d-importantes-vulnerabilites-dans-plusieurs-applications-dont-minecraft.html

 

Une grave faille zero-day dans la bibliothèque Java Log4j est déjà exploitée

Sécurité : Une grave vulnérabilité dans les bibliothèques de journalisation Java permet l'exécution de code à distance non authentifié et l'accès aux serveurs, avertissent des chercheurs.

Par Danny Palmer | Vendredi 10 Décembre 2021

Une vulnérabilité zero-day récemment découverte dans la bibliothèque de journalisation Apache Log4j est facile à exploiter et permettrait à des attaquants de prendre le contrôle total des serveurs affectés.

Identifiée comme CVE-2021-44228, la vulnérabilité est classée comme grave et permet l'exécution de code à distance non authentifié.

Selon le CERT néo-zélandais (CERT-NZ), cette vulnérabilité est déjà exploitée par des attaquants.

Le CERT-FR a également publié un avis

Le CERT-FR a également publié un avis concernant cette faille de sécurité. Les analystes de l'Anssi indiquent que « cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'événement.

« Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification. Des preuves de concept ont déjà été publiées et des codes d'exploitation sont susceptibles d'être rapidement développés ».

Les systèmes et services qui utilisent la bibliothèque Apache Log4j entre les versions 2.0 et 2.14.1 sont tous concernés, notamment de nombreux services et applications écrits en Java.

Toute personne utilisant Apache Struts est « probablement vulnérable »

La vulnérabilité a été découverte pour la première fois dans Minecraft, mais les chercheurs avertissent que des applications cloud sont également vulnérables. Il est également utilisé dans des applications d'entreprise et il est probable que de nombreux produits se révèlent vulnérables à mesure que l'on en apprend davantage sur la faille.

Un article de blog publié par des chercheurs de LunaSec avertit que toute personne utilisant Apache Struts est « probablement vulnérable ».

« Compte tenu de l'omniprésence de cette bibliothèque, de l'impact de l'exploit (contrôle total du serveur) et de sa facilité d'exploitation, l'impact de cette vulnérabilité est assez grave. Nous l'appelons "Log4Shell" en abrégé », indique LunaSec.

Que faire face à cette menace ?

Les organisations peuvent identifier si elles sont affectées en examinant les fichiers journaux de tous les services utilisant les versions Log4j affectées. S'ils contiennent des chaînes de caractères envoyées par l'utilisateur, le CERT-NZ utilise l'exemple de "Jndi:ldap", ils pourraient être affectés. Afin d'atténuer les vulnérabilités, les utilisateurs doivent basculer le paramètre log4j2.formatMsgNoLookups sur "true" en ajoutant "‐Dlog4j2.formatMsgNoLookups=True" à la commande JVM pour démarrer l'application.

Pour empêcher l'exploitation de la bibliothèque, il est vivement recommandé de mettre à jour les versions Log4j vers log4j-2.15.0-rc1.

« Si vous pensez que vous pourriez être affecté par CVE-2021-44228, Randori vous encourage à faire comme si vous l'étiez et à examiner les journaux concernant les applications affectées pour identifier une activité inhabituelle », écrivent des chercheurs en cybersécurité de Randori dans un article de blog. « Si des anomalies sont découvertes, nous vous encourageons à supposer qu'il s'agit d'un incident actif, que vous avez été compromis et à réagir en conséquence. »

Source : ZDNet.com

 

Ici le tester de Trendmicro:

https://log4j-tester.trendmicro.com/

 

Détectez et bloquez les tentatives d’exploitation de la vulnérabilité Log4j avec CrowdSec

@Korben  —  13 décembre 2021

— En partenariat avec Crowdsec —

Si vous travaillez dans le domaine de la cybersécurité, vous avez probablement passé un très mauvais week-end.

Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228).

L’équipe CrowdSec s’est retroussé les manches pour développer un scénario capable de détecter et bloquer les tentatives d’exploitation de cette vulnérabilité. Vous pouvez le télécharger directement depuis le Hub de CrowdSec et l’installer en un clin d’œil. 

L’efficacité de CrowdSec se basant sur le pouvoir de la foule, et à la lumière de la taille de leur communauté en pleine expansion, la solution a déjà collecté un grand nombre d’adresses IP qui tentant d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici. Elle est très fréquemment mise à jour et il va sans dire que vous devriez bloquer sans attendre celles qui sont marquées comme « validated ».

Ces adresses IP ont été sélectionnées par l’algorithme de consensus de la solution, ce qui signifie qu’elles ont reçu de nombreux votes défavorables de la part de leur réseau d’utilisateurs. Celles qui sont marquées comme “not enough data” sont très suspectes mais peuvent encore contenir quelques faux positifs. Les adresses classées dans la catégorie « benign » sont utilisées par des personnes qui sont généralement du bon côté de la force, pour aider, scanner, et non à des desseins malfaisants. 

Vous pouvez également utiliser leur mode replay, ou forensics, pour analyser les logs de vos serveurs afin de vérifier si une exploitation Log4j a été tentée sur l’une de ces IP, par qui et quand, en utilisant le scénario approprié et la ligne de commande ci-dessous :

sudo cscli hub update
sudo cscli scenarios install crowdsecurity/apache_log4j2_cve-2021-44228
sudo systemctl reload crowdsec

# sudo crowdsec --dsn "file://<log_file_path>" -no-api --type <log_type>
sudo crowdsec --dsn "file:///var/log/nginx/access.log" -no-api --type nginx

sudo cscli alerts list --scenario crowdsecurity/apache_log4j2_cve-2021-44228

Si vous souhaitez accéder à plus de détails concernant cet IPS open source et collaboratif, qui est capable de détecter et bloquer de nombreux comportements malveillants, tout en vous permettant de collaborer entre cyber défenseurs en échangeant les IPs bloquées, visitez leur site web ou leur dépôt GitHub. 

REF.:  https://korben.info/detecter-bloquer-vulnerabilite-log4j-crowdsec.html?fbclid=IwAR1lZWvc0Li99sSEnhRgyY5oDcx1TyZ1rfoiIhpch-8TdZJLPFVDTXD3B6Y