Près de la moitié des réseaux ont été sondés pour les faiblesses de Log4Shell

Près de la moitié des réseaux d’entreprise dans le monde ont maintenant été activement sondés par des acteurs malveillants qui tentent de trouver un moyen d’exploiter CVE-2021-44228, alias la vulnérabilité d’exécution de code à distance (RCE) Log4Shell dans le cadre de journalisation Java Apache Log4j2, selon les données de Check Point.

La société a déclaré avoir vu des tentatives d’exploitation contre 46,2% des réseaux d’entreprise en Australie et en Nouvelle-Zélande, 42,4% en Europe, 41,8% en Amérique latine, 41,4% en Afrique, 37,7% en Asie et 36,4% en Amérique du Nord. Au Royaume-Uni, 37 % des réseaux d’entreprise ont déjà subi des tentatives de cyberattaques – en Irlande, ce chiffre s’élève à 49 %.

Ventilées par secteur, les organisations présentes dans la chaîne d’approvisionnement informatique, telles que les intégrateurs de systèmes, les revendeurs à valeur ajoutée (VAR) et les distributeurs, sont de loin les plus ciblées, suivies par les organisations du secteur de l’éducation et de la recherche, les consultants et les prestataires de services gérés. Les organisations du secteur des transports, des loisirs et de l’hôtellerie, ainsi que de la revente et de la vente en gros sont moins touchées.

Au matin du 13 décembre, environ 72 heures après la divulgation, les propres systèmes de Check Point avaient arrêté plus de 846 000 tentatives d’exploitation de Log4Shell, dont 46 % par des groupes malveillants connus.

L’équipe de recherche de Check Point a décrit Log4Shell comme une véritable cyberdéparte, se propageant comme une traînée de poudre, notant en particulier le développement rapide de différentes façons de l’exploiter, qui donnent aux acteurs de la menace un avantage clair en termes de moyen de contourner les défenses. De toute évidence, a déclaré l’équipe, l’épidémie n’a pas encore atteint son apogée.

« Nous assistons à ce qui semble être une répression évolutive, avec de nouvelles variantes de l’exploit original introduites rapidement – plus de 60 en moins de 24 heures », a déclaré Lotem Finkelsteen de Check Point, directeur du renseignement sur les menaces et de la recherche.

« Le nombre de combinaisons de la façon de l’exploiter donne à l’attaquant de nombreuses alternatives pour contourner les protections nouvellement introduites. Cela signifie qu’une couche de protection ne suffit pas et que seule une posture de sécurité à plusieurs niveaux fournirait une protection résiliente.

« Cette vulnérabilité, en raison de la complexité de son application des correctifs et de sa facilité d’exploitation, restera avec nous pendant des années, à moins que les entreprises et les services ne prennent des mesures immédiates pour prévenir les attaques contre leurs produits », a-t-il ajouté.

Pendant ce temps, les chercheurs de Bitdefender ont partagé des détails sur certaines des attaques observées jusqu’à présent dans la nature.

Déjà, a-t-il dit, sa télémétrie détectait un certain nombre de botnets exploitant la vulnérabilité pour déployer des portes dérobées, étendre leurs réseaux et déployer des cryptomineurs illicites, entre autres choses. Le botnet Muhstik est connu pour être un « early adopter » particulièrement enthousiaste.

En plus de cela, il voit Log4Shell être utilisé pour déployer des chevaux de Troie d’accès à distance (Rats), inverser les coquilles bash au service d’attaques futures, ainsi que l’émergence d’une nouvelle famille de ransomwares, qui porte le nom de Khonsari et cible les systèmes fonctionnant sous Windows.

Bitdefender a exhorté les défenseurs à auditer leur infrastructure et leurs parcs de logiciels pour établir leur exposition au framework Log4j2 et appliquer les correctifs ou les atténuations disponibles ; examiner les chaînes d’approvisionnement en logiciels; envisager la mise en œuvre d’une approche de défense en profondeur; et de surveiller activement leur infrastructure.

En outre, a noté l’équipe, il est également essentiel dans ce cas de reconnaître que de nombreux fournisseurs de logiciels et projets open source étudient toujours leur propre exposition à Log4j2, et que d’autres avis et correctifs seront diffusés pendant des semaines, voire des mois à venir. Par conséquent, il faut surveiller de près les mises à jour des fournisseurs.

Des orientations du NCSC du Royaume-Uni ont également été mises à disposition.