Log4Shell : Les experts en cybersécurité s’inquiètent de l’impact de la faille

Spread the love
Log4Shell : Les experts en cybersécurité s'inquiètent de l'impact de la faille

Alors que les retombées de la vulnérabilité de Log4j continuent de se faire sentir, les experts en cybersécurité s’interrogent sur l’avenir de ce problème.

Tom Kellermann, responsable de la stratégie de cybersécurité chez VMware, indique que c’est l’une des pires vulnérabilités qu’il ait vues dans sa carrière, et l’une des plus importantes jamais exposées.

publicité

Exploiter la faille pour créer un ver

Log4j fait partie du projet Apache. Pour Tom Kellermann, Apache est « l’un des piliers entre les applications et les environnements informatiques du monde », ajoutant que l’exploitation de Log4j « déstabilisera ce support et pourra à son tour déstabiliser l’infrastructure numérique qui a été construite par-dessus ».

Mais ce qui l’inquiète le plus, c’est que quelqu’un exploite davantage la vulnérabilité en créant un ver. Il décrit ce type de malware comme un logiciel malveillant polymorphe capable de se propager tout seul.

« Pensez à un drone autonome. Un ver peut se déplacer entre les systèmes et les infecter en ciblant une vulnérabilité spécifique », explique-t-il. « L’un des plus importants au début des années 2000 était “Code Red”. Nous n’avons pas vu un tel impact mondial depuis lors, et si cette vulnérabilité devait être utilisée comme une arme par un acteur malveillant – qu’il s’agisse des services de renseignement, de l’une des grandes puissances malveillantes du cyberespace ou de l’un des principaux groupes cybercriminels – les choses deviendraient plus intéressantes. »

La menace d’un ver fait débat

La possibilité d’un ver a suscité d’importantes discussions parmi les experts en cybersécurité. L’expert en cybersécurité Marcus Hutchins qualifie quant à lui les craintes concernant l’apparition d’un verd’« exagérées » dans plusieurs fils de discussion sur Twitter.

« Premièrement, il existe déjà une exploitation de masse (vous pouvez toucher tout l’internet à partir d’un seul serveur). Deuxièmement, les vers demandent du temps et des compétences pour être développés, mais la plupart des attaquants travaillent contre la montre (correctifs et autres attaquants). Enfin, en raison de la nature de l’exploit, il n’existe pas de méthode standard pour l’exploiter. Les gens se sont contentés d’insérer grossièrement la charge utile dans des requêtes HTTP, ce qui ne nécessite pas un ver pour le faire. Un ver aurait besoin d’une nouvelle technique d’exploitation pour gagner une réelle valeur par rapport à l’analyse », écrit-il sur Twitter.

« Je pense à quelques acteurs qui ont à la fois les moyens et la motivation pour développer un ver, mais personnellement, je serais bien plus préoccupé par la protection des systèmes externes (ceux qui sont exploités en masse ici et maintenant). Les attaquants n’ont pas besoin d’un ver pour détruire votre réseau s’ils y pénètrent. »

Marcus Hutchins ajoute dans un autre fil de discussion que WannaCry « a donné aux gens une idée exagérée de la menace posée par les vers », précisant que les vers « ne sont pas le pire scénario pour la plupart des exploits ».

« Il ne s’agit pas simplement de cas où chaque faille doit donner naissance à un ver (nous n’avons jamais vu de vers pour aucune des failles RCE et même si c’était le cas, ce ne serait pas pire qu’une exploitation normale). WannaCry a été créé par la Corée du Nord, en utilisant un exploit de la NSA, volé par la Russie. Ce n’est pas la norme », rappelle-t-il.

Steve Povolny, responsable de la recherche sur les menaces pour McAfee Enterprise et FireEye, a déclaré à ZDNet que sa plus grande inquiétude concerne l’émergence d’un ver, ajoutant qu’il ne pouvait « imaginer un pire scénario pour les exploits log4j qu’un code malveillant capable de se répliquer et de se propager à une vitesse incroyable, délivrant des charges utiles de ransomware. »

Povolny a déclaré que des vers comme “WannaCry” de 2017 ont démontré le type d’impact auquel les experts en cybersécurité pouvaient s’attendre, notant que même l’exemple de “WannaCry” a été coupé dans son élan en raison d’un “kill switch”.

“Nous ne pouvons pas espérer avoir autant de chance cette fois-ci – il ne s’agit pas de savoir si, mais quand cela se produira. Les organisations de toutes tailles doivent mettre en œuvre une stratégie agressive de reconnaissance et de déploiement des correctifs pendant qu’il est encore temps”, a déclaré M. Povolny.

D’autres, comme le directeur technique de BreachQuest, Jake Williams, ont déclaré que, même s’il est certain que quelqu’un créera un ver qui exploitera les vulnérabilités de Log4Shell, il est peu probable que cela soit comparable à WannaCry, NotPetya ou d’autres incidents similaires.

La grande majorité des serveurs vulnérables à Log4Shell exécuteront le processus vulnérable avec des autorisations très limitées, a expliqué M. Williams, ajoutant que, dans la plupart des cas, un ver exploitant Log4Shell ne serait probablement pas en mesure d’obtenir la persistance sur la machine après un redémarrage.

Étant donné que le processus n’a probablement pas de droits sur le système de fichiers, M. Williams estime que le risque lié aux ransomware.

“Un processus malveillant ne peut pas chiffrer ce qu’il ne peut pas écrire en premier lieu. Bien que nous devions absolument nous attendre à la création d’un ver Log4Shell, nous ne devrions pas confondre les dommages attendus d’un ver avec ce qui a été observé dans des incidents précédents de grande envergure”, a déclaré M. Williams.

Le vice-président de Salt Security, Yaniv Balmas, a déclaré que son équipe voit déjà des cas où la vulnérabilité Log4Shell est utilisée par des opérations “courantes” liées à la cybercriminalité afin de diffuser des ransomwares et d’autres logiciels malveillants courants.

Balmas a noté qu’aujourd’hui encore, le monde de la cybersécurité retrouve des traces d’infection par des vers informatiques lancés il y a des années. Si quelqu’un décide d’intégrer cette vulnérabilité dans un ver, Balmas a déclaré qu’il serait “presque impossible de l’arrêter une fois qu’il aura atteint une masse critique.”

“Toutefois, sans négliger l’impact d’un tel ver, ce n’est peut-être pas le pire scénario en raison de l’incroyable facilité avec laquelle cette attaque peut être appliquée. Toute personne disposant d’un ordinateur de base et d’un accès à Internet pourrait lancer une attaque contre des millions de services en ligne en quelques minutes”, a déclaré M. Balmas.

L’impact est assez similaire à celui d’un ver et l’étendue des dégâts pourrait même être plus importante que celle d’un ver puisqu’il fonctionne “à l’aveugle” de manière automatisée. Dans cet autre scénario, il y a de véritables humains derrière les attaques qui peuvent cibler des entités ou des institutions spécifiques et permettre aux attaquants d’affiner leurs attaques au fur et à mesure de leur progression.”

Heureusement, certains experts en cybersécurité ont déclaré que l’avance prise en matière de détection, d’atténuation et de correctifs les aidera à se préparer au pire.

John Bambenek, principal analyste chez Netenrich, a déclaré qu’un ver aurait été bien pire la semaine dernière, mais que le travail effectué à l’échelle de l’industrie a permis d’améliorer la situation de nombreuses machines parmi les plus vulnérables.

D’autres ont déclaré que, bien que la vulnérabilité puisse être exploitée par un ver, rien n’indique qu’il s’agisse d’une priorité pour les acteurs de la menace à l’heure actuelle.

Source : “ZDNet.com”

Leave a Reply