Les attaques Log4Shell se propagent rapidement juste après l’exploitation d’une faille

Quelques jours après la découverte de la dangereuse vulnérabilité du jour ouvrable Log4Shell sur la plate-forme de journalisation Apache Log4j Java, les experts du secteur ont commencé à avertir que des acteurs malveillants exploitaient désormais la faille vers des points de terminaison sensibles dans diverses techniques.

Microsoft a révélé une liste d’approches Log4Shell (suivi comme CVE-2021-44228) est en train de s’appliquer : pour mettre en place des logiciels malveillants, des cryptomineurs, pour augmenter les gadgets des botnets Mirai et Muhstik, pour supprimer les balises Cobalt Strike, pour rechercher des informations et divulgation des faits, ou pour un mouvement latéral à travers le réseau impacté.

“Au moment de la publication, la plus grande partie des actions observées ont été analysées, mais des activités d’exploitation et de soumission-exploitation ont également été remarquées”, a averti la société dans un article de blog. “Microsoft a observé des routines qui incluent l’installation de mineurs de pièces, Cobalt Strike pour permettre le vol d’identifiants et le mouvement latéral, et l’exfiltration d’informations à partir de programmes compromis”, a rapporté la société.

Correctifs et solutions de contournement

Log4Shell est une forme de vulnérabilité particulièrement dangereuse, car elle peut être utilisée pour déployer pratiquement n’importe quel code sur le gadget cible, par pratiquement tous les acteurs malveillants, car le seuil d’entrée est assez bas. Étant donné à quel point Log4j d’Apache est omniprésent dans les applications Java, la quantité de gadgets vulnérables est plutôt importante.

L’exploit a été initialement découvert après qu’un pirate informatique inconnu a publié une preuve d’idée sur un référentiel public GitHub.

La faille affecte les versions 2., jusqu’à 2.141, et même si Apache a publié un correctif, il appartient désormais aux fabricants de progiciels personnels de corriger leurs versions pour garantir la sécurité de leurs utilisateurs. En attendant, la vulnérabilité a désormais été correctement exploitée sur certains runtimes Java 11.

Ceux qui ne sont pas en mesure de corriger leurs versions instantanément peuvent également déployer une solution de contournement, grâce au fournisseur de stabilité Cybereason. L’instrument de la société, qui peut être découvert ici, désactive la vulnérabilité, offrant aux acheteurs le temps nécessaire pour mettre à jour vers la variante 2.15.

Par: Bip qui sonne