Log4Shell : pourquoi parle-t-on de cyber pandémie ?
Plus tôt ce mois-ci, le 10 décembre 2021, une nouvelle attaque 0-day, baptisée Log4Shell, est venue occuper les entreprises du monde entier. Cette faille a été analysée comme critique avec une note de 10/10 pour sa dangerosité. Pire encore, théoriquement, tout le monde peut être touché par cette faille. Log4j est omniprésent dans quasiment tous les serveurs utilisant Java.
Pour rappel, l'exploit Log4J d'Apache permet à un pirate informatique de tromper le serveur cible pour qu'il télécharge et exécute un code arbitraire (généralement malveillant) hébergé sur un serveur contrôlé par l'attaquant, contournant ainsi plusieurs couches de solutions de sécurité. C'est ce qui rend la faille aussi dangereuse. Mais ce n'est pas l'unique problème... des variantes et mutations de la faille ont émergées très vite, ce qui met en défaut l'efficacité des premières défenses mises en place.
Une véritable cyber pandémie mondiale avec de nouvelles « mutations »
Comme attendu, les attaques qui exploitent la vulnérabilité Log4j se multiplient et ne sont pas du tout encourageantes. Cela s'explique par la combinaison de deux facteurs : la difficulté à développer des correctifs et la facilité avec laquelle cette faille peut être exploitée. Les experts définissent cette faille comme l'une des plus grandes vulnérabilités des dernières années.
Comme un virus biologique, ce malware continue de survivre avec de nouvelles « mutations » qui le rendent plus difficile à éradiquer : pour donner une idée, les experts de Check Point Research montrent que plus de 60 variantes de l'exploit original ont été créées en moins de 24 heures. C'est le cas, par exemple, de la nouvelle vulnérabilité identifiée comme CVE-2021-45046. Problème : elle concerne aussi la version 2.15, soit la version corrigée de l'outil.
Des chercheurs ont identifié une deuxième famille de ransomwares de plus en plus utilisée pour les tentatives d'attaque qui exploitent la vulnérabilité, notamment aux États-Unis et en Europe. Cette nouvelle attaque ne porte pas le nom d'un pays ou d'une lettre de l'alphabet grec, elle se nomme TellYouThePass.
48 % des réseaux d'entreprise ont été ciblés dans les jours qui ont suivi la découverte de la faille
Les réseaux d'entreprise sont la cible de prédilection des pirates informatiques : les chercheurs de Check Point Research ont enregistré et empêché plus de 4 300 000 tentatives, dont 46 % de ces tentatives ont été menées par des groupes inconnus.
Selon les estimations des experts en sécurité de CPR (Check Point Research), la faille Log4j est actuellement exploitée dans plus de 48 % des réseaux d'entreprise dans le monde. Notez que ce sont des données qui pourraient être sous-estimées, car, aussi efficaces soient-ils, les outils disponibles de CPR ne peuvent empêcher toutes les attaques, surtout en prenant en compte le taux de propagation de ces exploits. Pour rappel, Log4j est effectivement intégré à chaque service web basé sur Java.
Si vous êtes un particulier ou une entreprise qui ne développe pas ses propres outils, vous ne pouvez pas faire grand-chose d’autre que de mettre à jour méthodiquement vos différents logiciels et systèmes à mesure que des patchs sont proposés.
https://www.youtube.com/watch?v=qfsPrN5qxUk