Le scenario du pire est-il en train de se jouer avec Log4Shell ? De Wannacry à Mirai en passant par Solarwinds ou encore Spectre/Meltdown, ainsi que Heartbleed ou ShellShock, les RSSI ont depuis quelques années l'habitude de composer avec un accroissement constant des cybermenaces. La dernière en date, Log4Shell, issue d'une faille dans la librairie de log Apache Log4j utilisée dans des milliers d'applications et services Java incluant iCloud, Steam; etc. va assurément leur donner des cheveux blancs. « La vulnérabilité d'exécution de code à distance d'Apache Log4j est la plus grande et la plus critique des vulnérabilités de la dernière décennie. Lorsque toutes les recherches seront terminées, nous apprendrons peut-être qu'il s'agit de la plus grande vulnérabilité de l'histoire de l'informatique moderne », a d'ailleurs glissé a son sujet Amit Yoran, CEO de Tenable.

Ce lundi, l'éditeur de sécurité Check Point a identifié que plus d'une soixantaine de déclinaisons de l'exploit original Log4Shell ont été disséminés et sont actuellement utilisés pour compromettre des millions de systèmes informatiques dans le monde. « A l'origine l'objectif était de faire de bourrage User Agent ou d'URI avec un codage base64 qui, une fois décodé par le système vulnérable, poussait l'hôte à télécharger un dropper malveillant à partir de l'infrastructure de l'attaquant », a expliqué Luke Richards, responsable de l'activité threat intelligence chez Vectra. « Suite à cela, les attaquants ont commencé à obscurcir la chaîne Java Naming and Directory Interface (JDNI) elle-même, en tirant parti d'autres fonctionnalités du processus JDNI ».

Des cyberattaques par ransomware basées sur Log4shell

Les chercheurs en sécurité multiplient les alertes concernant les détections de plusieurs centaines de milliers de cyberattaques actuellement en cours pour exploiter la vulnérabilité Log4j. Du côté de Check Point par exemple, plus de 800 000 tentatives de brèche de données ont été stoppées et plusieurs centaines de milliers également concernant Sophos. Une situation logique compte-tenu du fait que cet outil a été téléchargé plus de 400 000 fois sur GitHub et que les installations (services, applications...) qui l'embarquent constituent autant de porte d'entrées potentielles pour compromettre des millions de systèmes informatiques. Ce n'est d'ailleurs pas un hasard si cet exploit, identifié en tant que  CVE-2021-44228, s'est vu attribuer un score de sévérité CVSS de 10, soit le niveau maximal de cet indice.

Parmi les premières victimes de Log4Shell, le fournisseur de solutions en gestion des temps et des activités Kronos, que l'on retrouve notamment chez Marriott International, Samsung, Sony, Tesla, Yamaha... Si officiellement le groupe n'a pas attribué sa dernière attaque par ransomware à l'exploit de cet vulnérabilités, plusieurs articles font état d'un lien direct entre ces deux événements. Dont Ars Technica qui précise que les services cloud de Kronos reposent massivement sur Log4j. Ce ne serait bien évidemment pas le seul mais malheureusement le début d'une longue liste : « Microsoft a déjà vu un précurseur de l'outil de pen test (dévoyé par les cybercriminels notamment ceux derrière les rançongiciels) Cobalt Strike atterrir sur des systèmes exploités par Log4j. Il ne faudra pas longtemps avant que nous entendions parler d'événements de ransomware liés à Log4j en tant que vecteur principal d'infection ».

« Bien que Kronos Private Cloud soit sécurisé par des pare-feu, des transmissions cryptées et une authentification multifacteur, les cybercriminels étaient toujours en mesure de compromettre et de chiffrer ses serveurs », a expliqué Nick Tausek, architecte de solutions de sécurité chez Swimlane. « Cette extension d'arrêt de service généralisé à venir posera probablement de nombreux défis pour les organisations qui devront multiplier les primes versées à leurs employés mobilisés pour du temps de travail supplémentaire en cette période de congés ».

L'Anssi vigilante

Interrogé à l'occasion d'un évènement sur le Campus Cyber, Guillaume Poupard, directeur général de l'Anssi sur cette faille, il a indiqué en préambule « Oui c’est grave ». Le responsable constate un pic d’activité des cybermenaces intégrant cette faille et un fort épisode de scan pour vérifier l’exposition des systèmes. « La faille est relativement simple à mettre en œuvre et il est difficile de faire une attribution », explique-t-il. Les équipes de l’Anssi restent donc vigilantes et analysent la situation. A destination des DSI et RSSI, il promet des « fêtes de fin d’année particulièrement compliquées », car « il faut identifier les systèmes vulnérables et les patcher ». Ce qui n’est pas une chose simple reconnait-il.

Autre sujet d’inquiétude pour l’Anssi, « de part sa simplicité, on peut se poser la question de l’historique de cette faille. Peut-être qu’en creusant, on découvrira qu’elle est plus ancienne et donc qu’elle a pu être déjà utilisée », glisse Guillaume Poupard. 

Un correctif qui montre ses limites

Dans la tempête, les RSSI ne sont cependant pas seuls. Il existe une mise à jour de la bibliothèque (la version 2.15.0) qui corrige la vulnérabilité. Mais il existe aussi des solutions de contournement, comme par exemple un correctif mis au point par Cybereason en urgence; baptisé Logout4Shell; et disponible gratuitement depuis vendredi dernier. Une bonne nouvelle qui ne doit pas cacher quelques difficultés. Bien que l'application d'un patch constitue en soit une bonne solution, son déploiement peut se révéler toutefois complexe, nécessitant en amont un cycle de publication et de test. « Beaucoup d'entreprises ont du mal à déployer des correctifs urgents », a concédé Yonatan Striem-Amit, cofondateur et directeur de la technologie chez Cybereason. L'éditeur présente d'ailleurs son correctif comme un « vaccin » car il fonctionne en tirant parti de la vulnérabilité Log4Shell elle-même. « Le correctif utilise la vulnérabilité elle-même pour définir l'indicateur qui la désactive », a expliqué Striem-Amit dans un billet de blog. « Parce que la vulnérabilité est si facile à exploiter et si omniprésente, c'est l'un des très rares moyens de la bloquer dans certains scénarios ».

En ces temps de pandémie, l'analogie au vaccin est marquante, ce correctif pouvant donc être nécessaire mais pas suffisant pour se protéger efficacement de tout risque cyber. Déjà ce correctif ne fonctionne pas avec les versions de Log4j antérieures à la 2.10. Mais ce n'est pas tout : « L'exploit doit se propager proprement pour que le correctif soit efficace, et même si c'est le cas du code vulnérable est toujours présent », prévient  Casey Ellis, fondateur et directeur technique de la plateforme de Bug bounty Bugcrowd. « De nombreuses entreprises ont actuellement du mal à inventorier où Log4j existe dans leur environnement, et la mise à jour d'un composant comme celui-ci nécessite une analyse de dépendance afin d'éviter de casser un système dans le but de corriger une vulnérabilité. Tout cela représente beaucoup de travail. Et disposer d'un outil pour tout nettoyer semble être un scénario dans lequel de nombreuses organisations vont se retrouver dans les semaines à venir ».