Alors qu’une vulnérabilité très critique a été découverte dans la célèbre bibliothèque open source Apache Log4j, les spécialistes en cybersécurité du monde entier sont unanimes : les cyberattaquants sont probablement en train de s’emparer d’un maximum d’accès à leur disposition…
“La faille Apache Log4j est la vulnérabilité la plus redoutable que j’ai connue de toute ma carrière, en termes de nombre de personnes et d’organisations touchées et par conséquent de gravité de l’impact », fait savoir Jérôme Warot, vice-président, Technical Account Management, South EMEA chez Tanium, société américaine de cybersécurité et de gestion de systèmes.
« Je tiens à souligner que cette situation est très grave. Des avertissements nous parviennent actuellement depuis l’ensemble du secteur, indiquant que les attaquants cherchent activement des serveurs vulnérables aux attaques de Log4Shell », renchérit Brian Vermeer, Senior Developer Advocate et Java Champion chez Snyk, une plateforme de sécurité pour les développeurs basée à Boston.
Evgeny Lopatin, expert en sécurité chez Kaspersky, société d’origine russe qui édite des antivirus, anti-spyware, anti-spam ainsi que d’autres outils de sécurité, dit la même chose : “Nous constatons déjà que les cybercriminels recherchent activement des logiciels à exploiter avec cette CVE ».
Il est peut-être déjà trop tard…
« Bien qu’aucune compromission n’ait été officiellement annoncée à la suite de la vulnérabilité log4j, les chercheurs en sécurité du monde entier voient déjà des tentatives pour l’exploiter activement », confirme Dan Piazza, technical product manager chez Stealthbits, basé à New-York, qui fournit des solutions de sécurité alliant collecte et analyse des data. Et de citer Cloudflare, qui constate actuellement environ 1 000 tentatives d’exploitation de la vulnérabilité log4j par seconde.
il prévient : « Cette vulnérabilité aura, et a déjà, un effet significatif sur l’industrie. Log4j est en effet utilisé par des milliers d’applications, de bibliothèques et de frameworks, ce qui signifie que le nombre d’organisations potentiellement impactées est pharamineux. Et, alors que les cybercriminels scannent Internet pour trouver des cibles vulnérables, si les organisations n’ont pas déjà commencé à prendre des mesures d’atténuation adéquates, il est peut-être déjà trop tard. »
Lotem Finkelstein, responsable de la veille sur les menaces chez Check Point Software, le pionnier des pare-feu basé en Israël, chiffre ce mercredi 15 décembre : « Nous avons recensé plus de 1 272 000 attaques, au cours desquelles plus de 44 % des réseaux d’entreprise dans le monde ont été visés. “À certains moments, nous avons vu plus de 100 piratages par minute liés à la vulnérabilité de LogJ4 », ajoute-t-il.
Des attaques plus dévastatrices…
Analyste pour le cabinet de recherche Forrester, Allie Mellen met en garde, expliquant que Java est utilisé sur plus de 3 milliards d’appareils, dont un grand nombre utilisent Log4j, où se trouve la vulnérabilité : “Les attaquants commencent à utiliser cette vulnérabilité pour cibler des victimes avec des cryptomonnaies et des attaques de botnet, mais attendez-vous à des attaques plus dévastatrices (comme les ransomwares) exploitant cette vulnérabilité à l’avenir. Cette vulnérabilité sera utilisée pendant des mois, voire des années, pour attaquer les entreprises, c’est pourquoi les équipes de sécurité doivent frapper pendant que le fer est chaud. »
À l’exception du cryptomining, Sean Gallagher, chercheur principal en menaces chez Sophos, spécialiste anglais des logiciels et d’appliances de sécurité, observe “une accalmie avant la tempête d’une activité plus néfaste concernant la vulnérabilité Log4Shell. » Il assure que “les cyberattaquants sont probablement en train de s’emparer d’un maximum d’accès à leur disposition afin de les monétiser et/ou de les exploiter ultérieurement ».
Le roumain Bitdefender, qui développe, édite et commercialise des solutions de sécurité, a confirmé des attaques réussies “visant à intégrer des cryptomonnaies » ainsi que “des tentatives d’attaques visant à déposer des ransomwares ». Selon le spécialiste, les attaquants tentent de déployer Khonsari, une nouvelle famille de ransomware, pour cibler les systèmes exécutant le système d’exploitation Windows.
Les chercheurs de Check Point confirment ce mercredi 15 décembre avoir découvert une cyberattaque impliquant un malware non détecté, basé sur .NET. Cette attaque spécifique vise aujourd’hui cinq victimes dans les secteurs de la finance, de la banque et des logiciels en Israël, aux États-Unis, en Corée du Sud, en Suisse et à Chypre. Et de préciser que le serveur qui contient les fichiers malveillants est situé aux États-Unis.
C’est le moment d’agir.
Une des “pires vulnérabilités de cette décennie”, selon Acronis
Log4j est une bibliothèque Apache Java qui est souvent ajoutée à d’autres applications pour gérer la journalisation des données, par exemple dans des fichiers texte. Elle est très populaire, car elle est simple à utiliser, et des milliers d’applications s’en servent. Candid Wuest, VP de la recherche sur la cyberprotection chez Acronis, qui propose des solutions de sauvegarde et de protection des données, explique que “la vulnérabilité de log4shell (CVE-2021-44228) fonctionne parce que l’application permet de charger des valeurs dynamiques via l’interface JNDI (Java Naming and Directory Interface). Ces données ne sont pas correctement validées et peuvent permettre à un attaquant distant d’envoyer des commandes arbitraires, qui seront ensuite exécutées sur le système. » L’experte de cette entreprise fondée à Singapour en 2003 et constituée en Suisse en 2008 ajoute que “dans le pire des cas, cela peut installer une porte dérobée, qui accordera un accès complet au système à l’attaquant. »
