Près de la moitié des téléchargements Log4j sont encore dangereusement exposés

Un mois après la divulgation de CVE-2021-44228, alias Log4Shell, une vulnérabilité critique dans le package Java Apache Log4j, jusqu’à 40% des nouveaux téléchargements risquent toujours d’être compromis malgré la disponibilité de versions sûres, ce qui constitue une menace pour l’ensemble du tissu d’Internet.

Les données rassemblées par Sonatype, spécialiste de l’automatisation de la chaîne d’approvisionnement, révèlent que Log4j – un composant crucial de milliers d’outils, des produits grand public aux logiciels d’entreprise et aux applications Web – a été téléchargé plus de 10 350 000 fois depuis la divulgation de Log4Shell, et que plus de 40% de ces téléchargements étaient des versions vulnérables.

Rien qu’au Royaume-Uni, a déclaré Sonatype, 44,7% des 121 483 téléchargements Log4j un jour non spécifié au cours de la semaine écoulée étaient vulnérables, et la veille, 43% des 208 259 téléchargements étaient à risque.

« Le fait que nous soyons toujours confrontés à des pourcentages aussi élevés de téléchargements vulnérables est révélateur d’un problème beaucoup plus important en matière de sécurité de la chaîne d’approvisionnement », a déclaré Ilkka Turunen, directeur de la technologie sur le terrain chez Sonatype.

« Si les entreprises ne comprennent pas ce qu’il y a dans leur logiciel, elles sont incapables d’agir avec la vitesse requise lorsque des menaces surviennent – et dans ce cas, compte tenu de l’énorme popularité de Log4j, cela les expose à des risques importants.

« Heureusement, il existe des versions sûres du composant disponibles, donc pour les entreprises qui ont agi rapidement, leur risque a été considérablement réduit », a-t-il déclaré. « Cependant, cela doit servir de signal d’alarme urgent pour que les entreprises comprennent ce qu’il y a dans leur logiciel, où se trouvent les dépendances, et ne pas tirer parti des composants vulnérables lorsque des composants sûrs sont disponibles. »

Bien que l’ampleur de l’utilisation de composants non sécurisés reste inacceptable, certains signes indiquent que les équipes informatiques réagissent mieux à ce stade: depuis le 5 janvier, Sonatype a déclaré avoir constaté un taux d’adoption de 40% du nombre de versions sécurisées les plus récentes de Log4j – 2.17 et 2.17.1 – téléchargées.

Alors que les directeurs américains de la CISA ont déclaré hier que bien qu’aucune cyberattaque à grande échelle via Log4Shell n’ait encore été découverte, ils s’attendent à ce que la vulnérabilité reste utilisée « à l’avenir », CVE-2021-44228 reste un problème réel pour les défenseurs, avec beaucoup d’attention axée sur la possibilité de son utilisation dans des attaques de ransomware, ce qui est compréhensible compte tenu de la grande visibilité que de tels incidents ont gagné au cours des 18 derniers mois.

Un grand nombre d’entreprises de sécurité ont activement recherché des instances Log4j vulnérables et des opérateurs de ransomwares qui en tirent parti – bien que, selon CISA, aucune attaque majeure n’ait encore été détectée, ce qui suggère que les équipes de ransomware pourraient attendre leur heure pour l’instant.

Ces derniers jours, une souche surnommée NightSky, qui semble maintenant se répandre parmi les utilisateurs de VMware Horizon exécutant des produits vulnérables à Log4Shell, est particulièrement préoccupante ces derniers jours. Cela fait suite à un avertissement la semaine dernière des cyber-experts du NHS selon lequel un groupe de menaces non spécifié ciblait les serveurs VMware Horizon pour établir la persistance sur les réseaux cibles, injectant des shells Web malveillants qui pourraient ensuite être utilisés pour mener d’autres activités malveillantes.

Microsoft a déclaré qu’un groupe de menaces probablement basé en Chine et suivi en tant que DEV-0401 déployait probablement NightSky via Log4Shell, à partir du mardi 4 janvier 2022 ou vers cette date. Ce groupe a déjà utilisé d’autres ransomwares, notamment LockFile, AtomSilo et Rock, déployés à travers diverses vulnérabilités révélées publiquement, et semble privilégier l’utilisation d’une infrastructure de commande et de contrôle qui usurpe les domaines légitimes des sociétés de sécurité, y compris les gros canons tels que Sophos et Trend Micro.

« Nous avons observé de nombreux attaquants existants ajoutant des exploits de ces vulnérabilités dans leurs kits et tactiques de logiciels malveillants existants, des mineurs de pièces de monnaie aux attaques pratiques au clavier », a écrit l’équipe de cybersécurité de Microsoft dans une mise à jour publiée lundi 10 janvier.

« Les organisations ne réalisent peut-être pas que leur environnement est déjà compromis. Microsoft recommande aux clients d’effectuer un examen supplémentaire des périphériques sur lesquels des installations vulnérables sont découvertes. À ce stade, les clients doivent supposer qu’une large disponibilité du code d’exploitation et des capacités d’analyse constitue un danger réel et actuel pour leurs environnements », a-t-il déclaré.