Scénario Nightmare Log4Shell évité par une action rapide et professionnelle

L’exploitation de masse de la vulnérabilité Log4Shell – CVE-2021-44228 – dans Apache Log4j, qui a été rendue publique pour la première fois en décembre 2021, a presque entièrement échoué, après les actions rapides des professionnels de la sécurité, selon Chester Wisniewski de Sophos, qui a suivi Log4Shell de manière approfondie.

Dans un scénario comparable à celui qui s’est déroulé il y a 22 ans, lorsque les efforts des équipes informatiques du monde entier ont permis de remédier à la piqûre du bogue du millénaire, Wisniewski a déclaré que la menace immédiate d’attaquants exploitant Log4Shell avait été évitée car « la gravité du bogue a uni les communautés numériques et de sécurité et galvanisé les gens dans l’action ».

« Dès que les détails du bogue Log4Shell sont devenus clairs, les services cloud, les progiciels et les entreprises les plus importants et les plus importants au monde ont pris des mesures pour s’éloigner de l’iceberg, soutenus par des renseignements partagés sur les menaces et des conseils pratiques de la communauté de la sécurité », a écrit Wisniewski dans un blog publié plus tôt cette semaine.

S’appuyant sur la propre télémétrie de Sophos, Wisniewski a déclaré que dans la foulée immédiate de la divulgation de Log4Shell, il y avait un volume modéré d’analyse des systèmes vulnérables alors que les gens se déplaçaient pour développer des exploits de preuve de concept. En l’espace d’une semaine, cette hausse s’était considérablement accélérée, atteignant un pic quelques jours avant Noël.

Comme indiqué précédemment, ces chiffres comprenaient probablement un certain nombre de cryptomineurs opportunistes, d’unités de menaces persistantes avancées (APT) soutenues par les États-nations et de cybercriminels motivés financièrement à la recherche de cibles, ainsi qu’un grand nombre de sociétés de sécurité légitimes, de pirates informatiques éthiques et de testeurs d’intrusion.

Il est également important de considérer que selon la façon dont le code Log4J est utilisé et intégré dans une application, il est exploité différemment, de sorte qu’un certain nombre de ces analyses se seront avérées inutiles.

À la suite de cette poussée précoce, l’activité a ensuite chuté jusqu’à la fin de décembre et jusqu’en janvier, parallèlement à une réduction de l’activité d’analyse légitime et à une augmentation des cyberattaques réelles. Cependant, il y a encore eu beaucoup moins d’attaques réussies que ce à quoi on aurait pu s’attendre, et selon l’équipe Managed Threat Response de Sophos, seule une poignée de ses clients ont été touchés, et principalement par des cryptomineurs.

Comme pour le Millennium Bug, lorsqu’une crise médiatisée ne se matérialise pas, les gens sont souvent prompts à suggérer qu’il n’y a jamais eu de problème en premier lieu, mais Wisniewski a déclaré que ce n’était absolument pas le cas avec Log4Shell, et a averti que comme il est enfoui si profondément dans tant de produits et services, il reste une cible pour les acteurs malveillants. et le sera pendant un certain temps encore.

« [There] sont de nombreuses autres applications plus obscures impliquant Apache Log4J qui mettront du temps à être découvertes et exploitées par des attaquants », a-t-il écrit. « Ces attaques se dérouleront à un rythme humain et n’entraîneront pas de pics d’activité géants, bien qu’elles présenteront toujours un risque important pour les organisations qui restent vulnérables. »

Un facteur supplémentaire à prendre en compte est que les acteurs malveillants, en particulier les opérateurs de ransomware, passent presque toujours un temps considérable au sein de leurs réseaux cibles après avoir effectué leur compromission initiale – ce soi-disant temps d’arrêt peut durer des mois et est utilisé pour se déplacer latéralement dans les systèmes de la cible, recueillant des informations telles que des informations d’identification et exfiltrant des données, avant d’exécuter les dernières étapes de leurs attaques. Par conséquent, il y a fort à parier qu’un grand nombre de cyberattaques où Log4Shell a été abusé pour obtenir un accès initial n’ont pas encore eu d’impact, ou, comme l’a dit Wisniewski: « Ce n’est pas parce que nous avons contourné l’iceberg immédiat que nous sommes à l’abri du risque.

« Sophos estime que la tentative d’exploitation de la vulnérabilité Log4Shell se poursuivra probablement pendant des années et deviendra une cible de choix pour les testeurs d’intrusion et les acteurs de menaces soutenus par les États-nations. L’urgence d’identifier où il est utilisé dans les applications et de mettre à jour le logiciel avec le correctif reste plus critique que jamais », a-t-il écrit.