S’il y avait encore des doutes sur la gravité de la vulnérabilité de Log4j, la directrice de l’agence américaine de cybersécurité CISA (l’équivalent de l’Anssi outre-Atlantique), Jen Easterly, les a immédiatement levés en la décrivant comme « l’une des plus graves que j’ai vues dans toute ma carrière, si ce n’est la plus grave ».
Le vendredi 9 décembre, le monde de la sécurité informatique a été secoué par la divulgation de Log4j (CVE-2021-44228), une vulnérabilité de type « zero-day » dans la bibliothèque de journalisation Java Apache Log4j, largement utilisée, qui permet aux attaquants d’exécuter du code à distance et d’accéder à des machines.
Non seulement la vulnérabilité est relativement simple à exploiter, mais la nature omniprésente de Log4j dans les systèmes signifie qu’elle est intégrée dans un large éventail d’applications, de services et d’outils logiciels d’entreprise écrits en Java – et utilisés par des organisations et des particuliers dans le monde entier.
Comprendre si ce code fait partie des applications et constitue donc un risque potentiel
Cela signifie qu’après une année longue et épuisante, le personnel technique de la DSI se retrouve à se démener pour corriger une nouvelle vulnérabilité critique.
Pire encore, dans le cas de Log4j, il peut être extrêmement difficile, même pour les professionnels de la sécurité, de comprendre si ce code fait partie de leurs applications et constitue donc un risque potentiel. Comme beaucoup de logiciels libres, il est intégré en aval de la chaîne d’approvisionnement. De nombreux fournisseurs tentent encore de savoir si leurs produits sont concernés.
C’est pourquoi certains ont comparé Log4j à Heartbleed, une vulnérabilité dans SSL qui a affecté de nombreux sites Web et services importants, mais qui était également difficile à détecter et à gérer. À l’instar de Heartbleed, dont les conséquences continuent de se faire sentir depuis des années, on craint déjà que les vulnérabilités de Log4j ne soient un problème à long terme.
Cryptomineurs, outils de test de pénétration, ransomware et grosses opérations de piratage
Bien entendu, les pirates n’ont pas attendu avant de tenter de tirer parti d’une vulnérabilité récemment divulguée. En l’espace de quelques heures seulement, un grand nombre de tentatives d’exploitation des vulnérabilités de Log4j ont déjà eu lieu. De plus, les activités malveillantes n’ont cessé d’augmenter. Selon une société de cybersécurité, il n’a fallu que quelques jours aux attaquants pour cibler près de la moitié des réseaux d’entreprise.
-
Parmi les premières charges utiles déposées figurent des cryptomineurs, c’est-à-dire des logiciels malveillants qui utilisent la puissance de traitement de l’appareil infecté pour extraire des crypto-monnaies. - Mais des menaces bien plus dangereuses ont rapidement suivi. Il s’agit notamment de l’installation de l’outil de test de pénétration Cobalt Strike, couramment utilisé par les attaquants pour voler les noms d’utilisateur et les mots de passe nécessaires pour se déplacer sur les réseaux.
- Ensuite, des rapports ont fait état d’un ransomware qui exploite Log4. Prenons l’exemple de Khonsari, qui est une forme incroyablement basique de ransomware. Mais les groupes de ransomware sont prompts à adopter toutes les techniques qui augmentent les chances de compromettre les réseaux et de réussir à exiger une rançon, ce qui signifie que d’autres attaques de ransomware exploitant Log4j sont susceptibles de suivre.
- Viennent ensuite les groupes de pirates soutenus par des États qui cherchent à exploiter la vulnérabilité, comme ils l’ont fait avec SolarWinds et Microsoft Exchange. Des opérations de piratage menées depuis la Chine, l’Iran, la Corée du Nord et la Turquie ont été repérées en train de tenter d’exploiter Log4j – et elles continueront à le faire aussi longtemps qu’elles le pourront.
Le travail a déjà commencé pour réparer les dégâts. La CISA a imposé aux agences fédérales américaines de corriger la vulnérabilité de Log4j en quelques jours. Mais pour tous les autres, le processus pourrait prendre des années et il y aura de nombreux cas où, malgré les vulnérabilités critiques, certains systèmes ne recevront jamais le correctif.
Il suffit de regarder EternalBlue, le catalyseur derrière WannaCry et NotPetya en 2017, qui figure encore régulièrement parmi les vulnérabilités les plus couramment exploitées et qui, des années plus tard, est toujours utilisé par les cybercriminels pour lancer des attaques. En fin de compte, tant que des systèmes seront menacés par la vulnérabilité Log4j, il y aura des cybercriminels ou des pirates soutenus par des États-nations qui chercheront à en tirer parti.
Et même si une organisation de premier plan a l’impression d’être protégée contre cette vulnérabilité, il est possible que des attaquants compromettent un fournisseur qui ne gère pas son informatique de manière aussi rigoureuse. Les criminels pourraient alors exploiter cette faille comme une passerelle vers une cible plus importante et plus lucrative.
Une bizarrerie du fonctionnement de l’Internet
En fin de compte, c’est une bizarrerie du fonctionnement de l’internet qu’un projet open source, exploité et géré sur une base volontaire, puisse causer autant de dommages. Internet est un élément crucial de notre vie quotidienne, mais des cas comme celui de la vulnérabilité de Log4j montrent à quel point il peut être vulnérable.
Certains experts demanderont davantage de règles et de réglementations sur la façon dont l’internet et les ordinateurs fonctionnent et s’intègrent. Il s’agit d’une conversation difficile, surtout si l’on considère qu’une grande partie de l’infrastructure qui a contribué à faire de l’internet ce qu’il est aujourd’hui a été construite à partir de projets passionnels et de programmes maintenus par des bénévoles.
Les professionnels de la cybersécurité étaient déjà épuisés après deux années très difficiles. Un autre événement majeur en matière de cybersécurité à l’approche de Noël n’aura rien arrangé. Malheureusement, Log4j restera probablement un problème jusqu’en 2022 et au-delà – nous ne faisons probablement qu’effleurer le risque et les campagnes de piratage qui tenteront d’exploiter cette vulnérabilité.
La meilleure chose que les organisations puissent faire, pour l’instant, est de suivre les conseils des experts et d’appliquer les mises à jour pour atténuer les dommages potentiels – puis d’espérer que des vulnérabilités similaires n’apparaissent pas ailleurs dans un avenir proche pour causer plus de dommages et plus d’épuisement.
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));