La crise gigantesque provoquée par log4j n’est pas encore terminée, même pas proche. Au cours de la semaine dernière, de nouvelles vulnérabilités ont été découvertes dans la malheureuse bibliothèque de journalisation Apache (dont la vulnérabilité omniprésente est surnommé « Log4Shell » dans le monde de l’infosec) mais, selon les experts, il n’y a pas lieu de paniquer. Voici un aperçu des derniers développements et de la réaction des professionnels de la sécurité.
Nouvelles vulnérabilités
Correctif logiciel n’est pas toujours un processus super simple, et nulle part cela n’a été plus évident que dans le fiasco de log4j. Au cours de la semaine dernière, Apache a publié nombreuses correctifs, mais avec chaque correctif successif, des problèmes supplémentaires sont apparus.
Vendredi, Apache a publié son troisième correctif, version 2.17.0, destiné à corriger une vulnérabilité nouvellement découverte qui aurait permis des attaques par déni de service (cette nouvelle faille est officiellement suivie comme CVE-2021-45105).
Le patch précédent, 2.16.0, avait été libéré après 2.15.0-la original correctif – n’avait pas réussi à atténuer un exploit d’attaque à distance qui, dans certains cas, aurait pu permettre le vol de données. En d’autres termes, le correctif destiné à corriger la vulnérabilité d’origine avait son propre vulnérabilité et le patch à corriger cette patch a également eu des problèmes. Bon produit.
G/O Media peut toucher une commission
Cela dit, ces nouvelles failles de sécurité ne sont pas aussi graves que l’original et ne devraient pas être quelque chose à perdre trop de sommeil, selon certains experts.
C’est la vulnérabilité originelle, CVE-2021-44228, qui, s’il n’est pas corrigé, fait toujours l’objet de cauchemars en matière de cybersécurité.
Existe-t-il un ver Log4j ?
Un autre épisode haut en couleur de cette saga a été un débat récent parmi les professionnels de la sécurité si log4j avait donné naissance à un ver ou non.
Dimanche, un chercheur en sécurité, Germán Fernández, a affirmé qu’il avait repéré un ver— un programme malveillant qui se propage lui-même — qui affectait les appareils qui n’avaient pas corrigé la vulnérabilité log4j. VX Underground, un grand référentiel en ligne d’échantillons de logiciels malveillants et d’universités associées, a partagé les conclusions du chercheur : « Chercheur en sécurité @1ZRR4H a identifié le premier ver Log4J. C’est un bot Mirai qui s’auto-propage. Nous avons agrégé l’échantillon », le compte de VX tweeté. Greg Linares, un autre chercheur en sécurité, dit qu’il avait l’air comme si le programme malveillant ciblait principalement les routeurs Huawei non corrigés.
Cependant, d’autres experts ont rapidement jeté de l’eau froide sur certaines de ces affirmations—faire remarquer que le programme ne semblait pas très fonctionnel et qu’il n’était peut-être même pas techniquement qualifié de ver. « J’ai procédé à l’ingénierie inverse de ce prétendu ver log4j et il ne fonctionne pas du tout » tweeté Marcus Hutchins, un éminent chercheur en cybersécurité. « Il y a également plusieurs bogues dans le code qui signifient que même s’ils réparaient la défaillance du noyau, il serait toujours complètement inefficace. »
Les experts en sécurité ont de la même manière sur la gravité d’un ver dans le contexte de log4j. Tom Kellermann, responsable de la stratégie de cybersécurité de VMware, a récemment déclaré à ZDnet qu’un ver pourrait être potentiellement « militarisé » par une puissance étrangère ou un service de renseignement hostile, ce qui pourrait être assez mauvais pour le résultat final.
Les tentatives d’exploitation continuent de se multiplier
Pendant ce temps, une explosion de tentatives d’exploitation visant log4j continue de révéler de nouvelles stratégies d’attaque.
Lundi, le ministère belge de la Défense a révélé que il avait été contraint de fermer certaines parties de son réseau après qu’un groupe de pirates informatiques ait exploité log4j pour accéder à ses systèmes. Bien que peu de choses aient été révélées sur l’incident, c’est l’un des exemples les plus visibles à ce jour du bogue Apache utilisé pour causer des dommages dans le monde réel. Ce ne sera certainement pas le dernier.
En effet, des rapports récents montrent que des groupes criminels à motivation financière se joignent à la mêlée, y compris des chevaux de Troie bancaires. En plus de cela, des gangs de ransomware, des activités de cyber-espionnage au niveau de l’État-nation et des activités de crypto-minage ont également été repérés. Courtiers à accès initial— les cybercriminels qui piratent des appareils et des réseaux informatiques avec l’intention de retourner et de vendre cet accès à d’autres criminels (principalement des pirates ransomware) — ont pillé les systèmes vulnérables à log4j. L’équipe de sécurité de Microsoft recherche publiée la semaine dernière, qui a montré que « plusieurs groupes d’activités suivis agissant en tant que courtiers d’accès ont commencé à utiliser la vulnérabilité pour obtenir un accès initial aux réseaux cibles ».
En bref : le plaisir continue ! Nous continuerons à suivre les changements plus larges de toute cette crise au fur et à mesure qu’elle se déroule.
.
Vous pouvez lire l’article original (en Angais) sur le bloggizmodo.com