Check Point Research : fonctionnement d’une exploitation en temps réel de Log4j

Paris, le 15 décembre 2021 – Ces attaques moins destructrices (axées sur la cryptographie) représentent les premiers stades des attaques à grande échelle (comme les ransomwares). Il s’agit en quelque sorte d’un « essai en direct » de la vulnérabilité et des dégâts potentiels sur les victimes, pour ensuite effectuer une offensive plus importante.

Une fois qu’un type de logiciel malveillant est injecté, il ne faut pas attendre longtemps pour que l’attaque ne prenne de l’ampleur. Les activités d’extraction de cryptomonnaies se transforment souvent en ransomware et autres types d’attaques majeures.

L’attaque exploite la vulnérabilité de Log4j pour télécharger un Trojan, qui déclenche le téléchargement d’un fichier .exe, lequel installe à son tour un crypto-miner. Une fois ce dernier installé, il se met à utiliser les ressources de la victime afin de miner des cryptomonnaies au profit des attaquants, le tout à l’insu de la victime qui ne sait pas qu’elle a été compromise. Grâce aux techniques d’évasion du malware, toutes les fonctions et tous les noms de fichiers pertinents sont masqués pour éviter que les mécanismes d’analyse statique ne les détectent.

• Jusqu’à présent, CPR a recensé plus de 1 272 000 tentatives d’attribution de la vulnérabilité. 46 % d’entre eux par des groupes de pirates informatiques malveillants connus.
• Les tentatives d’exploitation ont été documentées sur plus de 44 % des réseaux d’entreprise dans le monde.

Lotem Finkelstein, responsable de la veille sur les menaces chez Check Point Software : « Nous avons détecté un nombre massif de tentatives d’exploitation au cours des derniers jours. Les attaquants recherchent activement des cibles potentiellement vulnérables, et de nouveaux outils d’analyse de cette vulnérabilité continuent de faire surface. Les attaques à petite échelle permettent de développer des attaques à plus grande échelle. Les acteurs de la menace aiment tester leurs outils et leurs cibles, entraînant des attaques plus dangereuses comme les ransomwares. »

Il s’agit clairement de l’une des vulnérabilités les plus graves de ces dernières années sur Internet, et elle se répand comme une traînée de poudre. À certains moments, CPR a vu plus de 100 piratages par minute liés à la vulnérabilité de LogJ4. Nous assistons à ce qui semble être une répression évolutive, avec l’introduction rapide de nouvelles variations de l’exploit original – plus de 60 en moins de 24 heures. Le nombre de combinaisons possibles pour l’exploiter donne à l’attaquant de nombreuses possibilités de contourner les protections nouvellement introduites. Cela signifie qu’une seule couche de protection est insuffisante, et que seule une stratégie de sécurité à plusieurs niveaux peut fournir une protection efficace.

Contrairement à d’autres cyberattaques majeures qui impliquent un logiciel ou un nombre limité de logiciels, Log4j est pratiquement intégré à chaque produit ou service web sur Java. Il est extrêmement difficile d’y remédier manuellement. Une fois l’exploration publiée (vendredi), des scans du réseau Internet ont été effectués (afin de déterminer les surfaces vulnérables en raison de cet incident). Les utilisateurs qui ne souhaitent pas installer de protection sont probablement déjà passés au crible par des acteurs malveillants. CPR a recensé plus de 1 272 000 attaques, au cours desquelles plus de 44 % des réseaux d’entreprise dans le monde ont été visés.

Cette vulnérabilité, vue la complexité de sa correction et de sa facilité d’exploitation, restera présente dans les années à venir, à moins que les entreprises et les services ne prennent des mesures immédiates pour prévenir les attaques contre leurs produits et installer une protection. C’est le moment d’agir. En cette période de vacances, quand les équipes de sécurité peuvent mettre plus de temps à mettre en place des mesures de protection, la menace est imminente. Ce phénomène se comporte comme une cyberpandémie : il est très contagieux, se propage rapidement et possède de multiples variantes, qui multiplient les moyens d’attaque.

Lire la suite sur France 24.

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.