Les pirates mènent plusieurs campagnes d'attaques en se servant la faille Log4shell. (Crédit Photo: Elchinator/Pixabay)
Après la publication de la faille dans la bibliothèque java Log4j, les cybercriminels l'ont activement exploité. Des gangs de ransomware aux pirates épaulés par les Etats en passant par le cryptominage et les botnets, c'est un déferlement d'attaques qui est à prévoir. Surtout que le premier correctif fourni par Apache était incomplet.
A l'heure où les DSI et les RSSI sont mobilisés pour corriger la faille dans la bibliothèque Java de journalisation Log4j, les pirates ont bien compris l'intérêt d'une telle vulnérabilité et ont multiplié les attaques. Lundi dernier, Check Point Software avait recensé plus de 800 000 tentatives de violation de données utilisant la vulnérabilité baptisée Log4Shell. Une chose est sûre, l'ensemble du spectre de la menace s'est emparé de la brèche. Petit tour d'horizon des différentes cyberattaques.
Toute la familles des cybercriminels répond présent
BitDefender a découvert un groupe de ransomware nommé Konshari qui se sert de la faille Log4Shell. Cette information a été confirmée par Microsoft dans un blog, qui a vu des serveurs de Minecraft compromis le week-end dernier. Par ailleurs, la firme de Redmond constate que les attaquants soutenus par des Etats (Chine, Iran, Corée du Nord et Turquie) se sont emparés de la faille. Elle pointe le gang de ransomware iranien Phosphorus, mais aussi le groupe chinois Hafnium. Ce dernier viserait particulièrement les systèmes virtualisés avec la brèche dans Log4j.
De son côté BitDefender a dressé une liste d'autres menaces. L'éditeur évoque par exemple les cryptomineurs notamment XMRIG. A travers un script, il essaye de s'installer depuis GitHub. En complément des cryptomineurs, les botnets ne sont pas en reste avec les familles Mushtik et Mirai (connu dans le domaine de l'IoT) qui ciblaient les systèmes Linux, selon Netlab 360. A travers ces botnets, les pirates peuvent installer des backdoors ou lancer des campagnes d'attaques par déni de service (DDoS). Cloudflare et la division Talos de Cisco ont repéré des activités de botnet depuis le début décembre, soit quelque jours avant la divulgation officielle de la brèche.
Un deuxième correctif pour Log4j
Les attaques pourraient trouver un autre regain d'intérêt avec la publication d'un autre correctif pour la bibliothèque Log4j. En effet, la CVE-2021-44228 était corrigée avec la version 2.15 de Log4j, mais ce patch est « incomplet dans certaines configurations ». La CVE 2021-45046 a été colmatée par la Fondation Apache via la version 2.16 de Log4j. La plupart des constructeurs, éditeurs et fournisseurs ont mis à jour leurs systèmes exposés, mais cela laisse encore un peu de temps aux pirates pour se servir de la vulnérabilité.
Reste que la surface d'attaque est immense et que les entreprises vont passer du temps à patcher les différents systèmes. Guillaume Poupard a souligné que « les fêtes de fin d'année vont être un peu pénibles pour les experts en sécurité ». Tout en étant optimiste, « dans un mois, on n'en parlera probablement plus, ça sera résiduel ». En attendant, les pirates s'en donnent à coeur joie...
Suivez-nous