Un logiciel largement utilisé avec la vulnérabilité Log4j met les cyber-défenseurs en difficulté

Une vulnérabilité récemment découverte dans une bibliothèque de logiciels largement utilisée sème le chaos sur Internet, obligeant les cyberdéfenseurs à se démener alors que les pirates se précipitent pour exploiter la faiblesse. La vulnérabilité, connue sous le nom de Log4j, provient d’un produit open source populaire qui aide les développeurs de logiciels à suivre les modifications apportées aux applications qu’ils créent. Il est si populaire et intégré dans les programmes de nombreuses entreprises que les responsables de la sécurité s’attendent à des abus généralisés.

« La vulnérabilité d’exécution de code à distance Apache Log4j est la vulnérabilité la plus importante et la plus critique de la dernière décennie », a déclaré Amit Yoran, directeur général de Tenable, une entreprise de sécurité réseau et directeur fondateur de l’équipe américaine de préparation aux urgences informatiques. Vendredi, le gouvernement américain a envoyé un avertissement au secteur privé concernant la vulnérabilité Log4j et le risque imminent qu’elle représente.

Lors d’une conférence téléphonique lundi, le chef de la CISA a déclaré qu’il s’agissait de l’une des pires vulnérabilités observées depuis de nombreuses années. Elle a exhorté les entreprises à avoir du personnel travaillant pendant les vacances pour lutter contre ceux qui utilisent de nouvelles méthodes pour exploiter la faille.

Une grande partie des logiciels affectés par Log4j, qui portent des noms comme Hadoop ou Solr, peuvent ne pas être familiers au grand public. Mais comme avec le programme SolarWinds au centre d’une opération d’espionnage russe massive l’année dernière, l’omniprésence de ces programmes bourreaux de travail en fait des points de départ idéaux pour les intrus numériques.

Juan Andres Guerrero-Saade, le principal chercheur sur les menaces de la société de cybersécurité SentinelOne, l’a qualifié de “l’une de ces vulnérabilités cauchemardesques auxquelles il n’y a pratiquement aucun moyen de se préparer”. Alors qu’un correctif partiel de la vulnérabilité a été publié vendredi par Apache, le fabricant de Log4j, les entreprises concernées et les cyberdéfenseurs auront besoin de temps pour localiser le logiciel vulnérable et mettre en œuvre correctement les correctifs. Log4j lui-même est maintenu par quelques volontaires, ont déclaré des experts en sécurité.

En pratique, la faille permet à un étranger d’entrer du code actif dans le processus d’archivage. Ce code indique ensuite au serveur hébergeant le logiciel d’exécuter une commande donnant le contrôle au pirate. Le problème a été divulgué publiquement pour la première fois par un chercheur en sécurité travaillant pour la société de technologie chinoise Alibaba Group Holding Ltd, a noté Apache dans son avis de sécurité.

Il est maintenant évident que l’exploitation initiale a été repérée le 2 décembre, avant qu’un correctif ne soit déployé quelques jours plus tard. Les attaques sont devenues beaucoup plus répandues car les personnes jouant à Minecraft l’ont utilisé pour prendre le contrôle des serveurs et faire passer le mot dans les chats de jeu.

Jusqu’à présent, aucun incident informatique perturbateur majeur n’a été publiquement documenté en raison de la vulnérabilité, mais les chercheurs constatent une augmentation alarmante des groupes de piratage essayant de tirer parti du bogue à des fins d’espionnage. « Nous nous attendons également à voir cette vulnérabilité dans la chaîne d’approvisionnement de chacun », a déclaré Chris Evans, responsable de la sécurité des informations chez HackerOne,

Plusieurs botnets, ou groupes d’ordinateurs contrôlés par des criminels, exploitaient également la faille dans le but d’ajouter plus de machines captives, ont déclaré des experts qui suivent les développements.

Ce que de nombreux experts craignent maintenant, c’est que le bogue puisse être utilisé pour déployer des logiciels malveillants qui détruisent les données ou les cryptent, comme ce qui a été utilisé contre l’opérateur de pipeline américain Colonial Pipeline en mai, ce qui a entraîné des pénuries d’essence dans certaines parties des États-Unis. Guerrero-Saade a déclaré que son entreprise avait déjà vu des groupes de piratage chinois se déplacer pour tirer parti de la vulnérabilité.

Les sociétés de cybersécurité américaines Mandiant et Crowdstrike ont également déclaré avoir trouvé des groupes de piratage sophistiqués tirant parti du bogue pour violer des cibles. Mandiant a décrit ces pirates comme des « acteurs du gouvernement chinois » dans un e-mail à Reuters.