La faille Log4shell récupérée par les rançongiciels
Ca y est, la faille ultracritique repérée dans la bibliothèque Java Log4j a fait sa première victime : le ministère de la Défense belge. Et les gangs de ransomware ont commencé à l'exploiter.
Un mois après la découverte de la faille critique Log4Shell, qui touche la bibliothèque de logs Java Log4j, les cybercriminels se sont logiquement rués pour l'exploiter. Cette faille extrêmement dangereuse (elle a reçu la note de 10/10 en termes de criticité), et très répandue puisque Log4j est présent dans quasiment tous les serveurs utilisant Java et dans un grand nombre de logiciels sur tous les systèmes d'exploitation, est en plus de cela très difficile à patcher. Ce qui fait dire à certains experts qu'il s'agit de la vulnérabilité la plus critique de la dernière décennie.
Une aubaine pour les rançongiciels
Jusqu'à présent, les sociétés de cybersécurité ont identifié trois familles de rançongiciels ayant commencé à exploiter Log4Shell : Khonsari, TellYouThePass, et Conti. Elles exploitent cette vulnérabilité pour obtenir un accès à des machines et ensuite se déplacer sur des serveurs vulnérables, ce qui "complète un maillon manquant de la chaîne d'attaque", a expliqué Julien Roque Rodrigues, SOC manager et cyber threat intelligence analyst chez Orange Cyberdéfense, au cours d'un webinaire le 23 décembre.
Log4j "est un rêve devenu réalité pour les gangs de ransomware", résume Eyal Dotan, CTO de l'éditeur de logiciels Cameyo pour VentureBeat.
première victime : Le ministère de la Défense en Belgique
Outre les rançongiciels, les attaques constatées jusqu'à présent ont notamment visé à installer des mineurs de cryptomonnaies et des portes dérobées. La première cyberattaque exploitant Log4Shell à avoir été médiatisée a ciblé le ministère de la Défense belge. Un porte-parole de l'armée a confirmé le 21 décembre qu'une partie des activités du ministère étaient paralysées depuis le 16 décembre.
La fondation Apache a rapidement mis à disposition un correctif pour Log4j, mais de nouvelles vulnérabilités ont depuis été découvertes dans la version patchée. A date, trois patchs ont été déployés, dont le dernier le 17 décembre. Les vulnérabilités ont été exploitées dès le 20 décembre, indique Orange Cyberdéfense.
"On est parti pour un marathon"
La faille Log4Shell permet d'exécuter un code à distance sans authentification, ce qui la rend "très simple à exploiter via différents vecteurs d'attaque", expliquent les ingénieurs de la société de cybersécurité, qui recommandent aux entreprises l'installation d'un "web application firewall as a service". Et bien sûr, de déployer les correctifs au fur et à mesure. Mais Laurent Lemaire, chief business officer France chez Orange Cyberdéfense, prévient : "On est parti pour un marathon".
SUR LE MÊME SUJET
La faille Log4shell récupérée par les rançongiciels
Tous les champs sont obligatoires
0Commentaire
Réagir
