La gravité de la vulnérabilité dans Log4j est tout sauf théorique. Les cybercriminels scan ports du monde entier pour trouver des moyens de les exploiter. Les chercheurs en sécurité ont observé des centaines de milliers d'attaques.
Au cours des derniers jours, Check Point Software a reconnu 470,000 XNUMX tentatives de scan réseaux d'entreprises dans le monde entier. le scans sont effectuées, entre autres, pour trouver des serveurs qui autorisent les requêtes HTTP externes. Ces serveurs sont susceptibles d'exploiter la fameuse vulnérabilité de la bibliothèque Java Log4j. Si un serveur autorise les requêtes HTTP, un attaquant peut envoyer un ping au serveur avec une seule ligne pointant vers un serveur distant avec des instructions Java pour l'exécution de logiciels malveillants. Si le serveur ping est connecté à une application Java qui traite Log4j, l'application Java traite la ligne comme une commande pour exécuter le logiciel malveillant. Au bas de la ligne, le serveur de la victime exécute ce qu'un attaquant ordonne. L'organisation de sécurité Sophos affirme avoir identifié des centaines de milliers d'attaques.
Visages familiers
Plus tôt, nous avons écrit un article éclairant sur le fonctionnement technique mentionné ci-dessus de la vulnérabilité dans Log4j. La plus grande condition préalable à l'abus est la possibilité d'atteindre les applications Java incorporant Log4j. Dans certains cas, c'est un jeu d'enfant. Par exemple, Apple a utilisé iCloud Log4j pour enregistrer les noms des iPhones. En changeant le nom du modèle d'un iPhone dans iOS en une instruction pour Java, il s'est avéré possible de cracker les serveurs d'Apple.
Dans d'autres cas, les applications sont moins faciles à influencer. La plus grande menace vient des attaquants ayant de l'expérience, des connaissances et des techniques existantes. Les chercheurs en sécurité de Netlab360 ont mis en place deux systèmes leurres (honeypots, ndlr) pour inviter des attaques sur les applications Java avec Log4j. Les chercheurs ont ainsi attiré neuf nouvelles variantes de types de logiciels malveillants bien connus, dont MIRAI et Muhstik. Les souches de logiciels malveillants sont conçues pour abuser de Log4j. Une cible d'attaque courante est le renforcement des botnets pour l'extraction de crypto et les attaques DDoS. Check Point Software a mené une enquête similaire à plus grande échelle. Au cours des derniers jours, l'organisation de sécurité a enregistré 846,000 XNUMX attaques.
Défense
Il est évident que les cybercriminels recherchent et exploitent des versions vulnérables de Log4j. La défense la plus recommandable est et reste d'inventorier toutes les applications Log4j dans un environnement. Si le fournisseur de l'application dans laquelle Log4j est utilisé a publié une version mise à jour, un correctif est recommandé. Sinon, la désactivation est l'option la plus sûre. Le NCSC garde un aperçu de la vulnérabilité des logiciels dans lesquels Log4j est traité.
Il est actuellement tout sauf conseillé de développer ses propres mesures logicielles ou d'ajuster le fonctionnement de Log4j. La vulnérabilité a des variations. Microsoft, entre autres, a détecté plusieurs variantes de la règle utilisée pour demander aux applications Java d'exécuter des logiciels malveillants. Check Point parle de plus de 60 mutations.