A l’heure où les DSI et les RSSI sont mobilisés pour corriger la faille dans la bibliothèque Java de journalisation Log4j, les pirates ont bien compris l’intérêt d’une telle vulnérabilité et ont multiplié les attaques. Lundi dernier, Check Point Software avait recensé plus de 800 000 tentatives de violation de données utilisant la vulnérabilité baptisée Log4Shell. Une chose est sûre, l’ensemble du spectre de la menace s’est emparé de la brèche. Petit tour d’horizon des différentes cyberattaques.
Toute la famille des cybercriminels répond présent
BitDefender a découvert un groupe de ransomware nommé Konshari qui se sert de la faille Log4Shell. Cette information a été confirmée par Microsoft dans un blog, qui a vu des serveurs de Minecraft compromis le week-end dernier. Par ailleurs, la firme de Redmond constate que les attaquants soutenus par des Etats (Chine, Iran, Corée du Nord et Turquie) se sont emparés de la faille. Elle pointe le gang de ransomware iranien Phosphorus, mais aussi le groupe chinois Hafnium. Ce dernier viserait particulièrement les systèmes virtualisés avec la brèche dans Log4j.
De son côté BitDefender a dressé une liste d’autres menaces. L’éditeur évoque par exemple les cryptomineurs notamment XMRIG. A travers un script, il essaye de s’installer depuis GitHub. En complément des cryptomineurs, les botnets ne sont pas en reste avec les familles Mushtik et Mirai (connu dans le domaine de l’IoT) qui ciblaient les systèmes Linux, selon Netlab 360. A travers ces botnets, les pirates peuvent installer des backdoors ou lancer des campagnes d’attaques par déni de service (DDoS). Cloudflare et la division Talos de Cisco ont repéré des activités de botnet depuis le début décembre, soit quelque jours avant la divulgation officielle de la brèche.
Un deuxième correctif pour Log4j
Les attaques pourraient trouver un autre regain d’intérêt avec la publication d’un autre correctif pour la bibliothèque Log4j. En effet, la CVE-2021-44228 était corrigée avec la version 2.15 de Log4j, mais ce patch est « incomplet dans certaines configurations ». La CVE 2021-45046 a été colmatée par la Fondation Apache via la version 2.16 de Log4j. La plupart des constructeurs, éditeurs et fournisseurs ont mis à jour leurs systèmes exposés, mais cela laisse encore un peu de temps aux pirates pour se servir de la vulnérabilité.
Reste que la surface d’attaque est immense et que les entreprises vont passer du temps à patcher les différents systèmes. Guillaume Poupard a souligné que « les fêtes de fin d’année vont être un peu pénibles pour les experts en sécurité ». Tout en étant optimiste, « dans un mois, on n’en parlera probablement plus, ça sera résiduel ». En attendant, les pirates s’en donnent à cœur joie…
Attaque massive depuis plus de 2 semaines...0 impact visible.
Signaler un abusOui cette faille touche tout le monde, entreprises clients, fournisseurs, mais vulnérable ne veut pas dire exploitable. Contrairement à d'autres, cette faille ne permet pas de prendre directement le contrôle du serveur vulnérable, mais seulement de le forcer à essayer de se connecter à une machine malveillante, en général localisée sur Internet, via des protocoles déterminés (ldap, IIOP, rmi, DNS). Le cas du protocole DNS est à débattre (les requêtes sont souvent vers des serveurs internes, les chaines sont complexes), mais qui laisse ces équipements sortir sur ces protocoles vers tout Internet ?
Je le redis, des millions de tentatives jusqu'ici, 44% des entreprises attaquées, certes...mais aucun résultat visible jusqu'ici. Cela ne veut pas dire qu'il ne faut pas agir, mais il ne faut pas non plus oublier d'essayer de comprendre comment cette vulnérabilité fonctionne.
Avec cette faille, ils sont même arrivés à prendre le contrôle des freins d'une Tesla taxi à Paris. Les pirates sont vraiment doués ...
Signaler un abusJoyeux Noël à tous ceux qui sont sur le front !
Avec cette faille, ils sont même arrivés à prendre le contrôle des freins d'une Tesla taxi à Paris. Les pirates sont vraiment doués ...
Signaler un abusJoyeux Noël à tous ceux qui sont sur le front !