Powered By Blogger

Rechercher sur ce blogue

lundi 20 décembre 2021

Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware


Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware
Par
BALAJI N -
16 décembre 2021 0
Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware

Une mise à jour de sécurité d'urgence a été publiée récemment par Apache Software Foundation pour corriger une vulnérabilité de 0 jour dans la bibliothèque de journalisation Log4j populaire.

Cette vulnérabilité 0-day dans Log4j a été exploitée par les acteurs de la menace pour déployer un ransomware.

Log4j est une bibliothèque Java largement utilisée dans les systèmes d'entreprise et les applications Web. Les experts en cybersécurité ont suivi cette vulnérabilité de 0 jour en tant que CVE-2021-44228 et avec la version 2.15.0, le correctif a été publié.
Profil de défaut

Cette vulnérabilité de 0 jour a été nommée Log4Shell et a obtenu un score de 10 points sur 10 sur l'échelle d'évaluation de la vulnérabilité CVSS.

Ce 0-day permet aux attaquants d'exécuter du code arbitraire à distance puisqu'il s'agit d'un RCE.

    ID CVE : CVE-2021-44228
    Nom du défaut : Log4Shell
    Date de publication : 10/12/2021
    Dernière modification : 14/12/2021
    Source : Apache Software Foundation
    Gravité : critique
    Note de base : 10,0

Log4j est un environnement de travail pour le journal d'activité dans Apache qui permet de surveiller l'activité dans une application, et ici pour exploiter la faille 0-day, un attaquant devait envoyer un morceau de code malveillant.

Il oblige les applications et serveurs Java qui utilisent la bibliothèque Log4j à enregistrer une ligne spécifique dans leurs systèmes internes.

Lorsqu'une application ou un serveur traite de tels journaux, une chaîne peut amener le système vulnérable à charger et à exécuter un script malveillant à partir du domaine contrôlé par l'attaquant.
Produits et projets concernés

Cette vulnérabilité 0-day a été découverte à l'origine lors de la recherche de bugs sur les serveurs de Minecraft, mais Log4j est présent dans presque toutes les applications d'entreprise et les serveurs Java.

Donc, ici, nous avons mentionné ci-dessous tous les produits et projets populaires concernés : -

    Jambes de force Apache
    Apache Flink
    Druide Apache
    Canal Apache
    Apache Solr
    Apache Flink
    Apache Kafka
    Apache Dubbo
    Redis
    Recherche élastique
    Logstash élastique
    Ghidra

Les attaquants exploitant la vulnérabilité

La faille 0day, CVE-2021-44228 ne peut être exploitée que si le paramètre log4j2.formatMsgNoLookups est défini sur false. dit Bitdefender.

Dans la version Log4j 2.15.0, ce paramètre est défini sur true, principalement pour arrêter de telles attaques.

En bref, les utilisateurs de Log4j qui ont déjà mis à jour vers la version 2.15.0 puis mis le drapeau à false deviendront à nouveau vulnérables à ces attaques, les utilisateurs qui n'ont pas mis à jour la même chose resteront en sécurité.

Cependant, ici, les pirates exploitent cette vulnérabilité 0-day en déployant plusieurs botnets, mineurs, malwares et ransomwares. C'est pourquoi nous avons mentionné ici les déploiements utilisés par les pirates : -

    Botnet Muhstik
    Mineur XMRIG
    Khonsari (Nouvelle famille Ransomware)
    Orcus (cheval de Troie d'accès à distance)

Atténuations

Ici, les analystes de la cybersécurité ont recommandé aux utilisateurs de suivre quelques étapes immédiates pour atténuer cette vulnérabilité 0-day, et les voici mentionnées ci-dessous :

    Pour identifier tous les systèmes qui implémentent l'infrastructure de journalisation Apache Log4j2, effectuez un audit complet de l'infrastructure et des applications logicielles.
    Assurez-vous de revoir toutes vos nomenclatures de logiciels et votre chaîne d'approvisionnement de logiciels.
    Appliquer une approche de défense en profondeur.
    Surveillez activement l'infrastructure pour détecter d'éventuelles tentatives d'exploitation.

En dehors de cela, avec cette dernière mise à jour (mise à jour Apache Log4j 2.16.0) aucun risque supplémentaire n'est posé par cette vulnérabilité pour les utilisateurs.

 C'est pourquoi certains ont comparé Log4j à Heartbleed, une vulnérabilité dans SSL qui a affecté de nombreux sites Web et services importants, mais qui était également difficile à détecter et à gérer. À l'instar de Heartbleed, dont les conséquences continuent de se faire sentir depuis des années, on craint déjà que les vulnérabilités de Log4j ne soient un problème à long terme. 

  La CISA a imposé aux agences fédérales américaines de corriger la vulnérabilité de Log4j en quelques jours. Mais pour tous les autres, le processus pourrait prendre des années et il y aura de nombreux cas où, malgré les vulnérabilités critiques, certains systèmes ne recevront jamais le correctif.

Il suffit de regarder EternalBlue, le catalyseur derrière WannaCry et NotPetya en 2017, qui figure encore régulièrement parmi les vulnérabilités les plus couramment exploitées et qui, des années plus tard, est toujours utilisé par les cybercriminels pour lancer des attaques. En fin de compte, tant que des systèmes seront menacés par la vulnérabilité Log4j, il y aura des cybercriminels ou des pirates soutenus par des États-nations qui chercheront à en tirer parti.

Et même si une organisation de premier plan a l'impression d'être protégée contre cette vulnérabilité, il est possible que des attaquants compromettent un fournisseur qui ne gère pas son informatique de manière aussi rigoureuse. Les criminels pourraient alors exploiter cette faille comme une passerelle vers une cible plus importante et plus lucrative.


REF.:  https://gbhackers.com/hackers-exploiting-log4j2-to-deploy-ransomware/?fbclid=IwAR0AZa-NRuK-TxlTiXiyxefgLGgSwBL2YSf480i3g5OxjefJ1D_8ECFni7Y

Meta "indique clairement qu'il faut faire davantage pour arrêter ce marché de mercenaires".

 

 Meta indique clairement qu'il faut faire davantage pour arrêter ce marché de mercenaires.

 

 

Meta cible les entreprises utilisant Facebook et Instagram pour espionner

1500 comptes Facebook et Instagram liés à de l'espionnage ont été fermés.

Meta a annoncé jeudi avoir fermé quelque 1500 comptes Facebook et Instagram.


Agence France-Presse

Meta a annoncé jeudi avoir fermé quelque 1500 comptes Facebook et Instagram liés à des cybermercenaires qui les ont utilisés pour espionner jusqu'à 50 000 organisations militantes, des personnes dissidentes et des journalistes pour une clientèle du monde entier.

Les comptes en question étaient connectés à sept sociétés offrant des services allant de la collecte d'informations publiques en ligne à l'utilisation de fausses identités pour entrer en relation avec les cibles en passant par de l'espionnage numérique par le biais du piratage.

Meta – anciennement le groupe Facebook de Mark Zuckerberg – affirme avoir alerté les quelque 50 000 personnes pouvant avoir été visées.

Ces cybermercenaires prétendent souvent que leurs services ne ciblent que les personnes qui commettent des crimes et les terroristes, souligne Meta dans un rapport. Leur ciblage est en fait sans distinction et inclut des journalistes, des critiques de régimes autoritaires, des familles de membres de l'opposition et des personnes qui militent pour les droits de la personne.

Quatre des sociétés concernées sont basées en Israël, un pays réputé dans le secteur de la cybersurveillance : Cobwebs Technologies, Cognyte, Black Cube et Bluehawk CI.

Les trois autres sont BellTroX, basée en Inde, Cytrox, basée en Macédoine du Nord, et une société non identifiée basée en Chine.

Faux comptes pour espionner

[Ces entreprises] semblent prêtes à cibler n'importe qui pour le compte du plus offrant, a relevé Nathaniel Gleicher, responsable de la sécurité, lors d’une rencontre avec les médias.

Elles se présentent généralement comme des services d'intelligence sur Internet, spécialisés dans la collecte et l'analyse d'informations récupérées sur des sites, des blogues, des forums de discussion, des pages de médias, etc.

Les cybermercenaires créent parfois de faux comptes sur les réseaux sociaux pour récolter encore plus d'éléments personnels, rejoignant même les conversations ou groupes auxquels ces personnes participent.

Les entreprises tentent aussi parfois de gagner la confiance de leur cible avant de les duper en leur envoyant des pièces jointes ou des liens piégés et ainsi accéder, frauduleusement, à leurs téléphones intelligents ou ordinateurs.

Elles peuvent alors récupérer des données sensibles comme des mots de passe, des numéros de téléphone, des photos, vidéos et messages, selon ce que décrit le rapport. Elles peuvent aussi activer les micros, caméras et les fonctions de géolocalisation pour mieux espionner.

Pour le parlementaire démocrate et président d'un comité sur le renseignement au Congrès américain, Adam Schiff, cette annonce de Meta indique clairement qu'il faut faire davantage pour arrêter ce marché de mercenaires.

Meta n'a pas pu déterminer qui dirigeait l'entreprise opérant depuis la Chine, mais a constaté que certains des serveurs utilisés pour l'espionnage semblaient aussi être utilisés par les forces de l’ordre.

Notre enquête a révélé que des outils malveillants étaient utilisés pour surveiller des groupes minoritaires dans toute la région Asie-Pacifique, y compris dans la région du Xinjiang en Chine, en Birmanie et à Hong Kong, souligne le rapport.

L'une des sociétés visées, Cytrox, a par ailleurs été accusée jeudi par une équipe de recherche du Citizen Lab, l'organisation de cybersécurité de l'Université de Toronto, d'avoir développé un logiciel ayant servi à espionner au moins deux Égyptiens, un responsable politique en exil, Ayman Nour, et l'hôte d'un populaire programme d'informations, qui a souhaité rester anonyme.

Une autre société ciblée par Meta, Black Cube, a démenti jeudi auprès de l'AFP les accusations, affirmant ne mener aucune opération de piratage informatique ou même évoluer dans le cybermonde. Black Cube se présente comme un cabinet d'assistance juridique utilisant des méthodes légales pour obtenir des informations sur des contentieux.

 

REF.:   https://ici.radio-canada.ca/nouvelle/1848371/entreprises-espionnage-facebook-instagram-?fbclid=IwAR0Mkv3skp0qv4D33S41YRDQ_7ugbA_gIH0ABelsOFAPgF1FyfKG1Mozxhk

Les scientifiques croient qu’on doit se préparer à être exposés

 

 

Les scientifiques croient qu’on doit se préparer à être exposés

Menace montante des maladies émergentes                 

Des bactéries qui résistent aux antibiotiques, des virus qui mutent, des tiques qui provoquent une allergie à la viande : voilà des exemples de nos casse-tête de demain. Dans un avenir pas si lointain, nous risquons d’être exposés plus fréquemment à des maladies émergentes qui pourraient gagner le sol québécois. Il faut s’y préparer dès maintenant, martèlent des experts.

• À lire aussi: Pour se protéger, l’humain doit prendre de meilleures habitudes et même utiliser les virus

• À lire aussi: Un poupon en parfaite santé meurt de la COVID-19

• À lire aussi: Les experts surveillent la propagation des maladies et la résistance des bactéries

«Il y a [des] virus et autres corps pathogènes [déjà présents ailleurs] qui vont être appelés à [arriver au Québec], à cause de notre rapport à la nature [...] C’est inévitable», prévient André Dagenais, coordonnateur du Réseau de recherche en santé respiratoire du Québec. 

En plus, de «nouvelles maladies», c’est-à-dire celles que nous ne connaissons pas encore comme la COVID-19 avant que la pandémie éclate, vont être plus fréquentes, estime-t-il.

Le réchauffement climatique et notre mode de vie moderne sont mis en cause. Entre autres parce qu’ils ont pour effet:                         

  • de provoquer des migrations d’animaux et d’insectes porteurs de pathogènes qui peuvent transporter chez nous des infections connues ou inconnues de la science et qui, pour l’heure, sont absents ici;                          
  • d’offrir de nouvelles opportunités aux virus et aux bactéries de muter vers l’humain;                         
  • d’augmenter les contacts entre les humains, les animaux et les insectes. Ce qui hausse aussi les risques de transmission.                                                   

Difficile de prévoir        

Y aura-t-il de nouveaux pathogènes au Québec? Quelles maladies infectieuses viendront chez nous, et quand? Seront-elles dangereuses pour l’humain ou de simples nuisances? Provoqueront-elles des épidémies ou pas?

Les scientifiques n’ont pas de boule de cristal pour répondre à ces questions.

Le professeur titulaire à la Faculté de médecine vétérinaire de l’Université de Montréal, Stéphane Lair, fait une autopsie sur un phoque avec des étudiants. «Les changements climatiques seront associés à de nouvelles maladies, surtout [celles] transmises par les nouveaux insectes.»
Photo Chantal Poirier
Le professeur titulaire à la Faculté de médecine vétérinaire de l’Université de Montréal, Stéphane Lair, fait une autopsie sur un phoque avec des étudiants. «Les changements climatiques seront associés à de nouvelles maladies, surtout [celles] transmises par les nouveaux insectes.»

Chose certaine, «il y a des risques d’émergence de maladies qui vont probablement aller en augmentation au niveau de la fréquence. C’est difficile de prévoir quand va être la prochaine épidémie», résume Stéphane Lair, professeur titulaire en santé de la faune à la Faculté de médecine vétérinaire.

«C’est dans la nature du virus de changer constamment, donc on sait qu’il y a de nouvelles pathologies qui vont arriver», ajoute André Dagenais. 

Pas de panique        

Heureusement, les chercheurs interrogés ne s’attendent pas à voir déferler sur nous une vague de nouvelles maladies dangereuses.

S’ils se gardent bien de se montrer alarmistes, mieux vaut se préparer, demeurer à l’affût et s’assurer de mettre en place les bons outils pour lutter contre les nouveaux microbes auxquels nous serons exposés. 

Car, s’il y a bien une chose que l’apparition de la COVID-19 nous a apprise, c’est que le monde n’était pas prêt à faire face à une nouvelle maladie aussi contagieuse.

La clé du succès résidera notamment dans les investissements en recherche, la formation du personnel médical, la sensibilisation du public et la lutte aux changements climatiques. 

C’est une question sur laquelle s’entend la douzaine d’experts consultés par Le Journal dans le cadre de ce dossier.

Déjà commencé        

Il faut dire que ce phénomène est d’ores et déjà amorcé. En général, «dans la dernière décennie, il y a eu une augmentation du nombre de zoonoses [c’est-à-dire des maladies transmises par les animaux ou les insectes aux humains] déclarées à travers le monde», poursuit Stéphane Lair. 

Outre la COVID-19 qui a évidemment bouleversé la planète, le Québec a été, jusqu’ici, relativement épargné à ce chapitre par rapport à d’autres pays. 

Mis à part la maladie de Lyme qui prend de l’ampleur, on n’a pas constaté de hausse marquée de ces nouvelles infections chez l’humain, ajoute le professeur. 

«Pas encore», précise-t-il. 

Menace à la santé        


Sauf que ça pourrait vite devenir préoccupant pour notre santé. Il faudra ainsi composer avec l’arrivée de nouvelles maladies encore inconnues. Par exemple, un virus présent chez un animal pourrait trouver une façon de nous infecter.

Mais nous aurons aussi à faire face à l’installation d’agents pathogènes, comme des parasites qui sévissent déjà ailleurs, mais qu’on « n’est pas prêts à accueillir [chez nous] », prévient Christopher Fernandez-Prada, chef du laboratoire de parasitologie de l’Université de Montréal.

« Il faut se préparer, avoir des outils et la formation pour les affronter dans les années à venir, parce que ça s’en vient », alerte le chercheur.

Par exemple, des insectes bien présents chez nos voisins du sud pourraient traverser la frontière en raison du réchauffement de la planète. 

Ça pourrait être le cas de la tique étoilée, dont la morsure peut transmettre une allergie à la viande. Ou encore de la kissing bug, une punaise qui peut propager un parasite mortel lorsqu’elle mord.

Vacciner les ratons        

«Je pense que la COVID-19 nous fait réaliser que les maladies infectieuses sont vraiment importantes et qu’on doit surveiller les liens animaux-humains pour empêcher des éclosions comme [celles qu’] on a eues», note M. Fernandez-Padra. 

Un système de surveillance est déjà en place pour guetter la propagation des bactéries et des virus connus, puis pour limiter les dégâts qu’ils peuvent faire chez nous.

C’est ainsi que les autorités québécoises en sont venues à vacciner des ratons laveurs pour tenter de contrôler la progression de la rage entre 2006 et 2009. 

Les ravages que font certaines maladies ne se limitent pas à la santé. L’économie et la société en général s’en ressentent.

Par exemple, en 2018, les autorités ont fait abattre 3200 cerfs d’élevage d’une ferme dans les Laurentides et interdit la chasse dans un rayon de 400 km2 après une éclosion de prion, une protéine infectieuse qui se propage par contact direct avec l’animal malade ou avec l’eau ou la terre contaminée. Le tout pour éviter que d’autres animaux contractent la maladie du cerf fou, et peut-être l’humain, même s’il n’existe aucune preuve que c’est possible.  

Résistance aux antibiotiques        

Le Dr Guy Boivin, médecin microbiologiste infectiologue et chercheur au CHUL croit qu’il faut aussi s’intéresser aux effets des changements climatiques sur la santé. 
«Je ne pense pas que c’est demain matin que [des moustiques exotiques transportant des virus comme la Dengue, par exemple, vont] frapper le Québec. [Mais] ça s’en vient progressivement.»
Photo DIDIER DEBUSSCHÈRE
Le Dr Guy Boivin, médecin microbiologiste infectiologue et chercheur au CHUL croit qu’il faut aussi s’intéresser aux effets des changements climatiques sur la santé. «Je ne pense pas que c’est demain matin que [des moustiques exotiques transportant des virus comme la Dengue, par exemple, vont] frapper le Québec. [Mais] ça s’en vient progressivement.»

Parmi les nouvelles menaces préoccupantes figurent les bactéries qui deviennent de plus en plus résistantes aux antibiotiques.

Un phénomène qui viendra perturber nos vies si une option efficace aux antibiotiques n’est pas découverte. 

«C’est maintenant qu’on doit s’activer. C’est comme les changements climatiques : on voit s’en venir le danger [des bactéries résistantes], on comprend d’où vient le problème, mais il faut agir maintenant», prévient la Dre Dao Nguyen, professeure associée au Département de médecine de l’Université McGill et experte en résistance aux antibiotiques.

Il s’agit d’un problème auquel on doit s’attaquer à l’échelle mondiale.

Plus largement, «il faut s’intéresser aux effets [en général sur notre santé] des changements climatiques et de la déforestation, car il y a beaucoup plus d’effets que juste la transmission plus large des maladies infectieuses. On doit s’en inquiéter», martèle Guy Boivin, médecin microbiologiste infectiologue et chercheur au CHUL.


Des fonds sont réclamés pour la recherche                 

Des investissements en recherche et une meilleure formation des professionnels de la santé sont nécessaires, assurent des experts.

  André Dagenais Courtoisie

« C’est en finançant une recherche fondamentale qu’on va se donner des nouveaux outils », résume André Dagenais, coordonnateur du Réseau de recherche en santé respiratoire du Québec.

Ces outils seront essentiels pour surveiller, contrôler et limiter les dégâts des nouvelles maladies qui pourraient apparaître chez nous. Mais aussi pour trouver des options aux traitements actuels, ainsi que des stratégies pour lutter contre ces infections.

La douzaine d’experts consultés par Le Journal somment les gouvernements provinciaux et fédéraux d’investir dans la recherche. Sans s’alarmer de l’arrivée potentielle de nouvelles maladies, ils préviennent qu’on doit s’y préparer.

Le problème, c’est qu’à moins qu’ils visent à lutter contre une pandémie en cours, les fonds destinés à la recherche se font modestes, note M. Dagenais. 

Face à l’inconnu        

Pour ce qui est des pathogènes déjà connus ici ou ailleurs des mécanismes de surveillance existent déjà. 

C’est pour mieux les comprendre et pour se prémunir contre des maladies encore inconnues ou mal comprises que la recherche est cruciale. Pour les détecter, apprendre à les connaître, développer des méthodes de protection, informer le système de santé sur les traitements, sensibiliser les citoyens, etc. 

La professeure titulaire à l’École de santé publique au Département de médecine sociale et préventive, Hélène Carabin, réclame une meilleure formation médicale des professionnels de la santé.

Car leur transmettre l’information sur les nouvelles maladies est la clé pour qu’ils puissent rendre le juste diagnostic, traiter adéquatement leurs patients et prévenir, le cas échéant, la propagation d’une maladie. 

Pas que les symptômes        

Plus encore, les professionnels doivent être incités à davantage traiter les causes des maladies, « pas juste leurs symptômes », ajoute-t-elle.

Par exemple, ils doivent éviter de simplement prescrire un médicament pour soulager un mal, mais plutôt investiguer dans le but d’en découvrir la raison. 

Pour l’heure, les patients dont les symptômes sont dus à des maladies moins connues ne sont pas tous diagnostiqués ni traités. Ils peuvent ainsi développer des problèmes supplémentaires. 

C’est le cas de nombreux patients atteints de la maladie de Lyme (témoignages à lire demain).

Piratage d’iPhone : Pegasus est mort, vive Predator

 

 

Piratage d’iPhone : Pegasus est mort, vive Predator

Comme si le correctif de sécurité déployé par Apple avec iOS 14.8 allait suffire.


Publié le

 

Par

iPhon.fr


Vous ne le saviez peut-être pas, mais NSO Group est loin d’être la seule entreprise à proposer ses services de hacking de mobile sur mesure. Une nouvelle enquête signée du Citizen Lab révèle ainsi l’ampleur d’un autre programme du genre, appelé… Predator. Ça ne s’invente pas. Son développeur ? Une entreprise du nom de Cytrox, basée sans grande surprise en Israël elle aussi.

Le logiciel aurait déjà fait plusieurs victimes d’importance, dont un réfugié politique et un présentateur TV tous deux Égyptiens. Ayman Nour, de l’opposition au pouvoir en place, aurait même été surveillé par plusieurs acteurs gouvernementaux en même temps. Son système d’exploitation à l’époque était iOS, pourtant vendu par son éditeur comme plus sûr que les alternatives Android.

Plusieurs pays déjà clients !

D’après les investigations de Citizen Lab, pas moins de huit états auraient à ce jour mis la main sur Predator, leurs motivations précises restant évidemment à définir. Les responsables dont il est ici question seraient l’Arabie Saoudite, le sultanat d’Oman, la Serbie, la Grèce, Madagascar, l’Arménie, l’Indonésie et donc l’Égypte. Autant de régions où les dérives autoritaires sont monnaie courante.

La méthode utilisée par ce spyware pour pirater l’iPhone du journaliste est semble-t-il la même que celle qui a servi à accéder au contenu de celui de Jeff Bezos. Pour rappel, il s’agit d’un simple message WhatsApp émanant d’un inconnu et contenant un lien vérolé. Sur lequel la cible a donc cliqué, ce qu’il est totalement déconseillé de faire dans ce genre de cas. Mais il n’est pas toujours évident de le savoir selon les générations…

Quelles données sont à risque ?

Le rapport de Citizen Lab explique que de nombreux services Apple sont accessibles par Predator, dont le navigateur propriétaire Safari, l’App Store, Plans et d’autres encore plus sensibles comme Appareil photo et Mail. Pire : certaines messageries censées être chiffrées de bout en bout telles que Signal et Telegram sont aussi concernées, signe que même de telles alternatives ne sont jamais sûres à 100%.

Si vous craignez aussi d’être scanné un jour par un programme espion, sachez qu’il existe quelques stratégies pour se prémunir d’éventuelles conséquences néfastes. À retrouver juste ici.

 

REF.:   https://www.iphon.fr/post/piratage-iphone-predator

Le ransomware Conti exploite Log4Shell pour attaquer VMware vCenter

 

 

Le ransomware Conti exploite Log4Shell pour attaquer VMware vCenter

Le ransomware Conti est très actif et il compte bien profiter de l'apparition de la faille de sécurité Log4Shell pour faire de nouvelles victimes. Son objectif : compromettre une instance VMware vCenter afin de chiffrer les machines virtuelles.

La faille de sécurité dans la bibliothèque Log4j représente un nouveau vecteur d'attaque très intéressant pour les pirates informatiques. En effet, cette faille peut-être exploitée à distance sans nécessiter d'authentification au préalable.

Après l'apparition d'un nouveau ransomware nommé Khonsari et qui pourrait s'en prendre aux serveurs Minecraft dans les prochains jours, c'est Conti, un ransomware bien connu, qui cherche à tirer profit de cette vulnérabilité. Malheureusement, la liste des groupes de pirates qui exploitent la faille Log4Shell devrait s'agrandir jour après jour.

De nombreux services et produits sont vulnérables à cette faille de sécurité, dont VMware avec plusieurs dizaines de produits différents estampillés comme étant vulnérables. Pour information, VMware vSphere ESXi n'est pas vulnérable, ce qui n'est pas le cas de VMware vCenter Server.

Je ne vais pas vous dire de patcher votre serveur vCenter de toute urgence, car pour le moment le correctif n'est pas encore disponible. D'ailleurs, vous pouvez suivre l'évolution de la situation sur le site de VMware au sein du bulletin de sécurité VMSA-2021-0028.

Normalement, les serveurs VMware vCenter ne sont pas exposés directement sur Internet. De ce fait, ce ne sera pas le point d'entrée d'origine de l'attaque. Par contre, si l'attaquant a déjà pris le contrôle d'un autre équipement, il peut se déplacer sur le réseau pour compromettre le serveur VMware vCenter (ou un autre produit VMware concerné par cette faille de sécurité). Après avoir pris le contrôle du serveur vCenter, l'attaquant peut déployer la charge finale : le ransomware Conti afin de chiffrer les machines virtuelles.

La vulnérabilité Log4Shell est idéale pour réaliser des mouvements latéraux sur un réseau afin de passer d'un hôte à un autre, et de progresser.

En complément, vous pouvez consulter l'analyse d'AdvIntel sur l'utilisation de la faille Log4j par le gang Conti. Pour rappel, ce gang est à l'origine de plusieurs centaines d'attaques, avec une liste de victimes qui compte plus de 600 entreprises n'ayant pas payé la rançon.

Source