AccueilActualités informatiqueLa faille Log4j : Premières attaques par ransomware et par des acteurs...

La faille Log4j : Premières attaques par ransomware et par des acteurs étatiques

Plusieurs équipes de sécurité informatique font état d’attaques récentes concernant la faille de sécurité Log4Shell. Des groupes gouvernementaux exploitent la faille à leurs propres fins. Mais des cyber-gangsters distribuent déjà des crypto-miners et même des ransomwares pour tirer profit de la faille.

Une grande partie des attaques contre la faille sont encore des analyses de vulnérabilité générales effectuées par des chercheurs en sécurité, mais aussi par des cybercriminels. Mais leur nombre diminue déjà quelque peu. Mais cela ne signifie pas la fin de l’alerte. Le spécialiste des réseaux de diffusion de contenu Akamai annonce que ses systèmes détectent toutes les heures 250 000 tentatives d’attaque contre la faille CVE-2021-44228. L’entreprise part du principe que de telles attaques nous accompagneront encore pendant des mois.

Sommaire

Le centre de renseignement sur les menaces de Microsoft (MSTIC) signale que des serveurs Minecraft non hébergés par l’entreprise sont également attaqués. Dans certains cas, ils seraient vulnérables à une extension de la faille Log4j, qui charge des modifications tierces. Les pirates auraient envoyé des messages textuels manipulés dans le jeu, qui auraient abusé de la faille Log4Shell pour exécuter le code malveillant aussi bien sur le serveur que sur les clients connectés.

La classe Java introduite est le ransomware Khonsari, qui s’exécute dans le contexte de l’interpréteur Java javaw.exe. En outre, les chercheurs en sécurité de Redmond ont observé que des pirates introduisaient des reverse-shells basés sur Powershell via cette faille.

Ils ont ainsi obtenu un accès complet à la machine compromise et ont installé le malware Mimikatz pour voler les données d’accès. Comme les chercheurs n’ont pas encore constaté d’autres activités basées sur ces données, ils supposent que les pirates les collectent pour une utilisation ultérieure. Ils soulignent que les exploitants de serveurs devraient installer d’urgence les mises à jour disponibles.

Les analystes de Microsoft écrivent en outre que des groupes étatiques qu’ils ont observés en Chine, en Iran, en Corée du Nord et en Turquie étudient également la faille. Les activités allaient de l’expérimentation dans le développement à l’intégration de la faille dans le kit d’exploitation utilisé dans la nature, en passant par l’exploitation directe de la faille pour atteindre les objectifs poursuivis par les attaquants.

Le groupe iranien Phosphorus aurait par exemple installé un ransomware sur des serveurs vulnérables. Hafnium, un groupe sino-étatique, viserait plutôt l’infrastructure de virtualisation et utiliserait un service DNS pour espionner les activités.

D’autres groupes de ransomware-as-a-service ont été observés en train d’utiliser la faille Log4j pour obtenir des accès initiaux aux réseaux. Ils offraient ensuite des accès à d’autres groupes. Microsoft a vu des attaques sur des systèmes Linux et Windows et pense qu’il faut s’attendre à davantage d’attaques de ransomware manuelles.

En outre, les cybergangs ont adapté leurs activités criminelles. Le botnet Mirai installe via Log4Shell des cryptomineurs ainsi que la porte dérobée Tsunami sur des serveurs Linux. Les attaques visaient aussi bien les systèmes Windows que Linux. Les commandes codées en Base64 dans la requête JDNI://ldap manipulée lançaient des commandes Bash sous Linux et Powershell sous Windows.

En outre, les chercheurs ont vu des attaques dans lesquelles aucun code malveillant n’a été introduit, mais où seules des informations ont été drainées. Cela pourrait être utilisé sur des appareils réseau avec cryptage SSL pour espionner des informations et des données secrètes.

Mandiant a également été témoin d’attaques contrôlées par l’État et menées par des groupes d’Iran et de Chine, et confirme les observations de Microsoft. Dans certains cas, les groupes ont déjà établi leurs listes de cibles. Dans d’autres, ils s’introduiraient d’abord, avant de poursuivre leur progression, le cas échéant, lorsqu’ils seraient mandatés. L’entreprise de sécurité informatique s’attend à une augmentation des activités malveillantes des Etats.

La situation des menaces est très grave. Les cybercriminels repèrent les systèmes vulnérables et les attaquent. Les administrateurs et les responsables de la sécurité doivent les devancer autant que possible en identifiant et en protégeant rapidement les systèmes vulnérables. A l’instar d’une vaccination, il convient d’évaluer ce qui peut avoir des conséquences plus graves : La mise à jour avec éventuellement de courtes pannes de système – comparable à la vaccination, ou la panne à plus long terme, par exemple en raison d’une attaque de ransomware, avec des conséquences potentiellement plus graves, comme si l’on avait contracté la maladie. La Thuringe a résolu ce problème de manière conséquente, en ce sens qu’en début de semaine, les experts en sécurité informatique du Land ont tout simplement mis hors ligne de larges pans de l’informatique, en ont vérifié la vulnérabilité et les ont actualisés si nécessaire.

Le dépôt github de la CISA contenant la liste des systèmes et applications vulnérables est désormais plein à craquer. D’innombrables applications y sont répertoriées avec des statuts vulnérable, non concerné ou quelque chose comme en cours d’examen avec en outre un lien vers les messages de sécurité des fabricants. Un guide très utile pour les responsables informatiques afin d’obtenir rapidement un premier aperçu de la nécessité de déployer et de mettre à jour des systèmes vulnérables.

Le lundi 20 décembre, le webinaire de heise-Security La faille Log4j – le guide pratique pour les administrateurs fournit une aide concrète pour l’utilisation de Log4j dans l’environnement des entreprises et des administrations.

Lire aussi

Plus d'articles