Récemment nous avons commenté l'échec de Log4J et dans cette publication, nous aimerions partager des informations que le Les chercheursComme affirment que des pirates, dont des groupes soutenus par l'État chinois mais aussi par la Russie, ont lancé plus de 840.000 XNUMX attaques contre des entreprises du monde entier depuis vendredi dernier grâce à cette vulnérabilité.
Le groupe de cybersécurité Check Point a déclaré que les attaques connexes avec la vulnérabilité s'était accélérée dans les 72 heures depuis vendredi, et parfois ses enquêteurs voyaient plus de 100 attaques par minute.
L'éditeur a également noté une grande créativité dans l'adaptation de l'attaque. Parfois, plus de 60 nouvelles variations apparaissent en moins de 24 heures, introduisant de nouvelles techniques d'obscurcissement ou de codage.
Les « attaquants du gouvernement chinois » sont mentionnés comme étant inclus, selon Charles Carmakal, directeur de la technologie de la cyber-entreprise Mandiant.
La faille Log4J permet aux attaquants de prendre le contrôle à distance des ordinateurs exécutant des applications Java.
Jen de l'Est, directeur de la Cyber and Infrastructure Security Agency (CISA) des États-Unis, dit aux dirigeants de l'industrie qui La vulnérabilité était "l'une des plus graves que j'aie vues de toute ma carrière, sinon la plus grave", selon les médias américains. Des centaines de millions d'appareils sont susceptibles d'être touchés, a-t-il déclaré.
Check Point a déclaré que dans de nombreux cas, les pirates informatiques s'emparent des ordinateurs et les utilisent pour exploiter des crypto-monnaies ou faire partie de botnets, avec de vastes réseaux informatiques pouvant être utilisés pour submerger le trafic de sites Web, envoyer du spam ou à d'autres fins illégales.
Pour Kaspersky, la plupart des attaques viennent de Russie.
CISA et le National Cyber Security Center du Royaume-Uni ont émis des alertes exhortant les organisations à effectuer des mises à jour liées à la vulnérabilité Log4J, alors que les experts tentent d'évaluer les conséquences.
Amazon, Apple, IBM, Microsoft et Cisco font partie de ceux qui se précipitent pour déployer des solutions, mais aucune violation grave n'a été signalée publiquement jusqu'à ce que
La vulnérabilité est la dernière à affecter les réseaux d'entreprise, après que des vulnérabilités sont apparues au cours de l'année dernière dans les logiciels d'usage courant de Microsoft et de la société informatique SolarWinds. Les deux vulnérabilités auraient été initialement exploitées par des groupes d'espionnage soutenus par l'État en provenance de Chine et de Russie, respectivement.
Carmakal de Mandiant a déclaré que les acteurs soutenus par l'État chinois tentaient également d'exploiter le bogue Log4J, mais il a refusé de partager plus de détails. Les chercheurs de SentinelOne ont également déclaré aux médias qu'ils avaient observé des pirates informatiques chinois profitant de la vulnérabilité.
CERT-FR recommande une analyse approfondie des journaux du réseau. Les raisons suivantes peuvent être utilisées pour identifier une tentative d'exploitation de cette vulnérabilité lorsqu'elle est utilisée dans des URL ou certains en-têtes HTTP en tant qu'agent utilisateur
Il est fortement recommandé d'utiliser log2.15.0j version 4 dès que possible. Cependant, en cas de difficultés de migration vers cette version, les solutions suivantes peuvent être temporairement appliquées :
Pour les applications utilisant les versions 2.7.0 et supérieures de la bibliothèque log4j, il est possible de se prémunir contre toute attaque en modifiant le format des événements qui seront journalisés avec la syntaxe% m {nolookups} pour les données que l'utilisateur fournirait .
Près de la moitié de toutes les attaques ont été menées par des cyber-attaquants connus, selon Check Point. Ceux-ci comprenaient des groupes qui utilisent Tsunami et Mirai, des logiciels malveillants qui transforment les appareils en botnets, ou des réseaux qui sont utilisés pour lancer des attaques contrôlées à distance, telles que des attaques par déni de service. Il comprenait également des groupes qui utilisent XMRig, un logiciel qui exploite la monnaie numérique Monero.
"Avec cette vulnérabilité, les attaquants obtiennent un pouvoir presque illimité : ils peuvent extraire des données confidentielles, télécharger des fichiers sur le serveur, supprimer des données, installer un ransomware ou basculer vers d'autres serveurs", a déclaré Nicholas Sciberras, directeur de l'ingénierie d'Acunetix, scanner de vulnérabilité. Il a été « étonnamment facile » de mettre en œuvre une attaque, a-t-il déclaré, ajoutant que la faille serait « exploitée dans les prochains mois ».