Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware
Par
BALAJI N -
16 décembre 2021 0
Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware
Une mise à jour de sécurité d'urgence a été publiée récemment par Apache Software Foundation pour corriger une vulnérabilité de 0 jour dans la bibliothèque de journalisation Log4j populaire.
Cette vulnérabilité 0-day dans Log4j a été exploitée par les acteurs de la menace pour déployer un ransomware.
Log4j est une bibliothèque Java largement utilisée dans les systèmes d'entreprise et les applications Web. Les experts en cybersécurité ont suivi cette vulnérabilité de 0 jour en tant que CVE-2021-44228 et avec la version 2.15.0, le correctif a été publié.
Profil de défaut
Cette vulnérabilité de 0 jour a été nommée Log4Shell et a obtenu un score de 10 points sur 10 sur l'échelle d'évaluation de la vulnérabilité CVSS.
Ce 0-day permet aux attaquants d'exécuter du code arbitraire à distance puisqu'il s'agit d'un RCE.
ID CVE : CVE-2021-44228
Nom du défaut : Log4Shell
Date de publication : 10/12/2021
Dernière modification : 14/12/2021
Source : Apache Software Foundation
Gravité : critique
Note de base : 10,0
Log4j est un environnement de travail pour le journal d'activité dans Apache qui permet de surveiller l'activité dans une application, et ici pour exploiter la faille 0-day, un attaquant devait envoyer un morceau de code malveillant.
Il oblige les applications et serveurs Java qui utilisent la bibliothèque Log4j à enregistrer une ligne spécifique dans leurs systèmes internes.
Lorsqu'une application ou un serveur traite de tels journaux, une chaîne peut amener le système vulnérable à charger et à exécuter un script malveillant à partir du domaine contrôlé par l'attaquant.
Produits et projets concernés
Cette vulnérabilité 0-day a été découverte à l'origine lors de la recherche de bugs sur les serveurs de Minecraft, mais Log4j est présent dans presque toutes les applications d'entreprise et les serveurs Java.
Donc, ici, nous avons mentionné ci-dessous tous les produits et projets populaires concernés : -
Jambes de force Apache
Apache Flink
Druide Apache
Canal Apache
Apache Solr
Apache Flink
Apache Kafka
Apache Dubbo
Redis
Recherche élastique
Logstash élastique
Ghidra
Les attaquants exploitant la vulnérabilité
La faille 0day, CVE-2021-44228 ne peut être exploitée que si le paramètre log4j2.formatMsgNoLookups est défini sur false. dit Bitdefender.
Dans la version Log4j 2.15.0, ce paramètre est défini sur true, principalement pour arrêter de telles attaques.
En bref, les utilisateurs de Log4j qui ont déjà mis à jour vers la version 2.15.0 puis mis le drapeau à false deviendront à nouveau vulnérables à ces attaques, les utilisateurs qui n'ont pas mis à jour la même chose resteront en sécurité.
Cependant, ici, les pirates exploitent cette vulnérabilité 0-day en déployant plusieurs botnets, mineurs, malwares et ransomwares. C'est pourquoi nous avons mentionné ici les déploiements utilisés par les pirates : -
Botnet Muhstik
Mineur XMRIG
Khonsari (Nouvelle famille Ransomware)
Orcus (cheval de Troie d'accès à distance)
Atténuations
Ici, les analystes de la cybersécurité ont recommandé aux utilisateurs de suivre quelques étapes immédiates pour atténuer cette vulnérabilité 0-day, et les voici mentionnées ci-dessous :
Pour identifier tous les systèmes qui implémentent l'infrastructure de journalisation Apache Log4j2, effectuez un audit complet de l'infrastructure et des applications logicielles.
Assurez-vous de revoir toutes vos nomenclatures de logiciels et votre chaîne d'approvisionnement de logiciels.
Appliquer une approche de défense en profondeur.
Surveillez activement l'infrastructure pour détecter d'éventuelles tentatives d'exploitation.
En dehors de cela, avec cette dernière mise à jour (mise à jour Apache Log4j 2.16.0) aucun risque supplémentaire n'est posé par cette vulnérabilité pour les utilisateurs.
C'est pourquoi certains ont comparé Log4j à Heartbleed, une vulnérabilité dans SSL qui a affecté de nombreux sites Web et services importants, mais qui était également difficile à détecter et à gérer. À l'instar de Heartbleed, dont les conséquences continuent de se faire sentir depuis des années, on craint déjà que les vulnérabilités de Log4j ne soient un problème à long terme.
La CISA a imposé aux agences fédérales américaines de corriger la vulnérabilité de Log4j en quelques jours. Mais pour tous les autres, le processus pourrait prendre des années et il y aura de nombreux cas où, malgré les vulnérabilités critiques, certains systèmes ne recevront jamais le correctif.
Il suffit de regarder EternalBlue, le catalyseur derrière WannaCry et NotPetya en 2017, qui figure encore régulièrement parmi les vulnérabilités les plus couramment exploitées et qui, des années plus tard, est toujours utilisé par les cybercriminels pour lancer des attaques. En fin de compte, tant que des systèmes seront menacés par la vulnérabilité Log4j, il y aura des cybercriminels ou des pirates soutenus par des États-nations qui chercheront à en tirer parti.
Et même si une organisation de premier plan a l'impression d'être protégée contre cette vulnérabilité, il est possible que des attaquants compromettent un fournisseur qui ne gère pas son informatique de manière aussi rigoureuse. Les criminels pourraient alors exploiter cette faille comme une passerelle vers une cible plus importante et plus lucrative.REF.: https://gbhackers.com/hackers-exploiting-log4j2-to-deploy-ransomware/?fbclid=IwAR0AZa-NRuK-TxlTiXiyxefgLGgSwBL2YSf480i3g5OxjefJ1D_8ECFni7Y
