icetray - Fotolia
Log4Shell : de premières mesures insuffisantes et des attaques en cours
Une nouvelle mise à jour permet de corriger effectivement la vulnérabilité. Pour certains, cela peut impliquer de nouveaux déploiements de correctifs. Il y a urgence tant les acteurs cherchant à exploiter la vulnérabilité semblent aujourd’hui nombreux.
La vulnérabilité CVE-2021-44228 n’a pas fini de hanter la planète IT. L’application de la mise à jour 2.15.0 de la bibliothèque de journalisation log4j s’avère insuffisante.
Le Cert-FR a d’ailleurs actualisé ses recommandations en conséquence. À l’intention des organisations utilisatrices d’applications ou logiciels sur étagères basés sur Java/J2EE, il conseille désormais « de filtrer et de journaliser les flux sortants des serveurs pour les limiter aux seuls flux autorisés vers des services de confiance » et « prendre contact avec le développeur ou l’éditeur pour vérifier s’ils sont exposés à cette vulnérabilité et si un correctif est disponible ».
Et pour les développeurs et éditeurs, une version 2.16.0 de la bibliothèque est désormais disponible : « elle complète la correction en désactivant le JNDI et la fonction de Lookup qui doivent désormais être explicitement activés ».
Tous deux fournissent une interface permettant aux applications log4j d’interagir avec des annuaires, y compris externes à l’entreprise, et potentiellement malicieux. La mise à jour 2.15.0 de log4j laissait ouverte la possibilité que le traitement d’informations puisse déclencher des interactions JNDI.
Les actions sont à prendre d’autant plus rapidement que les activités offensives ont clairement commencé. Des assaillants exploitent ainsi déjà la vulnérabilité pour essayer d’énumérer les utilisateurs connus de l’annuaire Active Directory. Les résultats pourront être croisés avec des listes de fuites de données à la recherche de mots de passe réutilisés. De quoi obtenir des accès initiaux qui seront ensuite revendus à des acteurs lançant des attaques avec ransomware.
Mais un nouveau rançongiciel a déjà été repéré par les équipes de Bitdefender, visant les systèmes Windows attaquables via Log4Shell : Khonsari. L’éditeur évoque également un cheval de Troie permettant de contrôler à distance les systèmes Windows compromis, Orcus.
Microsoft fait état d’activités d’acteurs liés à des États-nations, des APT, qu’il s’agisse de la Chine, de l’Iran, de la Corée du Nord ou de la Turquie. Et cela vaut notamment pour le groupe baptisé Hafnium, qui utilise la vulnérabilité Log4Shell pour compromettre des environnements virtualisés.