Les hackers attaquent vigoureusement les serveurs touchés par la vulnérabilité « Log4Shell » récemment identifiée dans Log4j. Ils ont pour objectif d’intégrer des mineurs de cryptomonnaies via Cobalt Strike et de relier les appareils dans un « botnet ». La télémétrie a mis en avant une exploitation de la faille, 9 jours avant même qu’elle ne soit dévoilée au grand jour, le 9 décembre dernier.
L’entreprise de sécurité Netlab a commenté l’affaire. Selon elle, des menaces du même genre, telles que Mirai et Muhstik (Tsunami), visent les systèmes vulnérables. En effet, Muhstik avait détecté une faille de sécurité critique dans Atlassian Confluence début septembre. Il s’agissait d’attaques de type DDoS (distributed denial of service) pour rendre inutilisables les systèmes infectés.
Une menace présente depuis début décembre
Le géant de la technologie basé à Redmond déclare avoir détecté une multitude d’activités malveillantes, notamment l’installation de Cobalt Strike pour le vol d’identifiants, le déploiement de mineurs de cryptomonnaies et l’exfiltration de données des machines compromises.
« Le premier rapport de l’exploitation Log4j date du 1er décembre à 04h36 UTC. »
Matthew Prince, CEO de Cloudflare
Cela suggère que la faille était déjà accessible, au moins 9 jours avant sa révélation au grand public. Selon le rapport du Cisco Talos Intelligence Group, il y aurait déjà eu une activité de pirates à partir du 2 décembre.
Comment la faille Log4Shell a-t-elle exploitée ?
La plupart des attaques observées par Microsoft, à l’heure actuelle, sont des tentatives de passer par des systèmes vulnérables. Néanmoins, une fois que l’attaquant contrôle d’une application, il peut réaliser une myriade d’objectifs.
Intitulée « CVE-2021-22448 » (score CVSS : 10,0), la faille permet l’exécution de codes à distance dans Log4j. Tout ce que le pirate devait faire : envoyer des lignes contenant le code malveillant qui est enregistré par la version 2.0 au moins de Log4j.
La propagation est d’autant plus facile vu qu’Apache (open source) basé sur Java, est largement utilisé dans les entreprises pour enregistrer les événements et les messages générés par les applications. Cela permet aux hackers de charger un code à partir d’un domaine sur un serveur sensible et d’en prendre le contrôle. Une fois aux commandes, ils sont capables de causer les pires ravages.
Pas de cible spécifique pour cette vulnérabilité. Les pirates adoptent une approche « spray-and-pray » pour faire des ravages. Les incidents comme ceux-ci illustrent comment une seule faille, intégrée à de nombreux logiciels, peut générer une réaction en chaîne. Rappelons-le toujours ! Les malwares et autres attaques informatiques naissent d’une seule ligne de texte.