Les administrateurs systèmes et réseaux toujours en proie aux vulnérabilités Log4j

Les administrateurs systèmes et réseaux toujours en proie aux vulnérabilités Log4j

Les derniers jours de l’année 2021 ont été difficiles pour les responsables informatiques à cause des vulnérabilités Log4j. Les risques ne sont toujours pas écartés en sachant que des souches de logiciels malveillants supplémentaires exploitent les failles. 

Une hausse des tentatives d’exploitation des failles

La société de sécurité Check Point aurait observé une hausse de tentative d’exploitation de vulnérabilités dans la bibliothèque de journalisation Log4j. Cela concerne toutes les entreprises à travers le monde.

Ce taux de tentative est passé de 44 à 48% dans les derniers jours de l’année 2021. Le Ministère de la défense Belge par exemple aurait été victime d’une attaque. Il s’agit selon les responsables d’une exploitation de la vulnérabilité de Log4j.

Le ministère aurait mis en quarantaine les zones touchées pour protéger son réseau. Difficile jusqu’ici de savoir si l’attaque impliquait ou non un ransomware.

De nouvelles souches de logiciels malveillants 

Selon la société de sécurité Cryptolaemus, Dridex, une souche de Malware ciblant les institutions financières, a été déployé via un exploit de vulnérabilité dans Log4j. Les botnets Mirai et Muhstik ont également été déjà transmis à l’aide de la faille Log4j pour lancer des attaques DDos.

Les logiciels malveillants Kinsing ont aussi été déployés grâce à la faille Log4j pour l’extraction de crypto. Selon Akamai Technologies, les attaquants essayaient de déployer la porte dérobée Netcat pour cibler les appareils Windows.

Les chercheurs d’Uptycs pour leur part ont déclaré avoir observé des attaques utilisant la vulnérabilité Log4j impliquant les botnets Dofloo, Tsunami/Muhstik et Mirai, les mineurs de cryptomonnaies Kinsing et XMRig ainsi qu’une famille de ransomware Linux.

Des menaces de ransomware

Les acteurs malveillants ont essayé de mener des attaques de ransomware en exploitant la vulnérabilité dans Log4j. Les rapports indiquent de multiples tentatives de livraison de ransomware via la faille mais aucune n’aurait jusqu’ici réussi.

Des chercheurs ont rapporté les tentatives de livraison des ransomware Khonsari et TellYouThePass. Selon Mocrosoft, le gang de ransomware Conti aurait également tenté des exploits Log4j.

Des groupes d’États-nations liés à des pays comme la Chine et l’Iran cherchent aussi à exploiter la vulnérabilité Log4j, toujours selon Microsoft et la société de cybersécurité Mandiant.

Des vecteurs d’attaque supplémentaires

Les administrateurs systèmes et réseaux toujours en proie aux vulnérabilités Log4j

La société de cybersécurité Blumira suggère qu’il pourrait y avoir un vecteur d’attaque supplémentaire dans la faille Log4j. Au-delà des serveurs vulnérables, une machine utilisant un logiciel Log4j non corrigé pourrait aussi être vulnérable.

Par ailleurs, des applications et services écrits en Java sont potentiellement vulnérables. Les failles de Log4j antérieures à la version 2.17 seraient en cause. Les vulnérabilités de Log4j affectent aussi de nombreux services cloud.

Selon les chercheurs de chez Wiz, 93% des environnements cloud sont menacés. Jusqu’ici, seules 45% des ressources cloud vulnérables ont été corrigées. Les experts sont pessimistes. La probabilité d’attaques de ransomware à venir liés  aux vulnérabilités de Log4j serait élevée.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest