Mise à jour Log4j: 60 variantes de Log4Shell, des centaines de milliers d'attaques

La gravité de la vulnérabilité dans Log4j est tout sauf théorique. Les cybercriminels scannent les ports du monde entier pour trouver des moyens de les exploiter. Des chercheurs en sécurité ont observé des centaines de milliers d'attaques.

Ces derniers jours, Logiciel Check Point reconnu 470,000 tente d'analyser les réseaux d'entreprise dans le monde entier. Les scans sont effectués, entre autres, pour trouver des serveurs qui autorisent les requêtes HTTP externes. De tels serveurs sont susceptibles d'exploiter la fameuse vulnérabilité de la bibliothèque Java Log4j. Si un serveur autorise les requêtes HTTP, un attaquant peut envoyer un ping au serveur avec une seule ligne pointant vers un serveur distant avec des instructions Java pour l'exécution de logiciels malveillants. Si le serveur ping est connecté à une application Java qui traite Log4j, l'application Java traite la ligne comme une commande pour exécuter le malware. Au bas de la ligne, le serveur de la victime exécute ce qu'un attaquant commande. L'organisation de sécurité Sophos affirme avoir identifié des centaines de milliers d'attaques.

Visages familiers

Plus tôt, nous avons écrit un article éclairant sur le fonctionnement technique mentionné ci-dessus de la vulnérabilité dans Log4j. La plus grande condition préalable à l'abus est la capacité d'atteindre les applications Java incorporant Log4j. Dans certains cas, c'est un jeu d'enfant. Par exemple, Apple a utilisé iCloud Log4j pour enregistrer les noms des iPhones. En changeant le nom de modèle d'un iPhone dans iOS en une instruction pour Java, il s'est avéré possible de cracker les serveurs d'Apple.

Dans d'autres cas, les applications sont moins faciles à influencer. La plus grande menace vient des attaquants expérimentés, connaissances et techniques existantes. Les chercheurs en sécurité de Netlab360 ont mis en place deux systèmes de leurre (pots de miel, éd.) pour inviter des attaques sur des applications Java avec Log4j. Les chercheurs ont ainsi attiré neuf nouvelles variantes de types de logiciels malveillants bien connus, dont MIRAI et Muhstik. Les souches de logiciels malveillants sont conçues pour abuser de Log4j. Une cible d'attaque courante est le renforcement des botnets pour le minage de crypto et les attaques DDoS. Check Point Software a mené une enquête similaire à plus grande échelle. Ces derniers jours, l'organisme de sécurité enregistré 846,000 attaques.

La défense

Il est évident que les cybercriminels recherchent et exploitent des versions vulnérables de Log4j. La défense la plus conseillée est et reste d'inventorier toutes les applications Log4j dans un environnement. Si le fournisseur de l'application dans laquelle Log4j est utilisé a publié une version mise à jour, le patch est recommandé. Si non, la désactivation est l'option la plus sûre. Le NCSC garde une vue d'ensemble de la vulnérabilité des logiciels dans lesquels Log4j est traité.

Il est actuellement tout sauf conseillé de développer vos propres mesures logicielles ou d'ajuster le fonctionnement de Log4j. La vulnérabilité a des variations. Microsoft, entre autres, a détecté plusieurs variantes de la règle utilisée pour ordonner aux applications Java d'exécuter des logiciels malveillants. Check Point parle de plus que 60 mutation.