Log4Shell reste un favori de l’arsenal cybercriminel
La faille dans le composant Log4j, connue sous le nom de “Log4Shell”, aurait dû être corrigée par les organisations il y a plusieurs mois, mais certains systèmes restés vulnérables sont toujours utilisés par les pirates pour accéder aux réseaux d’entreprise.
La Cybersecurity & Infrastructure Security Agency (CISA) et le United States Coast Guard Cyber Command (CGCYBER) ont publié un avis commun pour demander aux administrateurs de corriger les serveurs Horizon et Unified Access Gateway (UAG) de VMware qui utilisent des versions vulnérables de Log4j. L’UAG de VMware permet aux employés d’accéder à distance et de manière sécurisée aux bureaux et applications virtuels Horizon.
Les deux produits VMware étaient vulnérables à la faille Log4Shell, identifiée CVE-2021-44228, qui a été divulguée en décembre. VMware a publié des correctifs pour ses appareils en décembre et janvier.
La faille a été baptisée Log4Shell parce qu’elle donnait aux attaquants un shell pour accéder à distance à des appareils connectés à Internet qui utilisaient Log4j.
“La CISA et CGCYBER recommandent à toutes les organisations disposant de systèmes affectés qui n’ont pas immédiatement appliqué les correctifs ou les solutions de contournement disponibles de supposer la compromission et de lancer des activités de chasse aux menaces”, a déclaré la CISA.
Retour en grâce
Selon la CISA, les attaquants ont utilisé la faille pour accéder au réseau de reprise après sinistre d’une victime et voler des informations, notamment des identifiants et mots de passe administrateurs.
“Depuis décembre 2021, de multiples groupes d’acteurs malveillants ont exploité Log4Shell sur des serveurs VMware Horizon et UAG non corrigés et orientés vers le public”, préviennent les agences dans leur avis
“Dans le cadre de cette exploitation, des acteurs présumés de type APT ont implanté des logiciels malveillants de chargement sur les systèmes compromis avec des exécutables intégrés permettant de commander et de contrôler à distance (C2). Dans une compromission confirmée, ces acteurs APT ont pu se déplacer latéralement à l’intérieur du réseau, accéder à un réseau de reprise après sinistre, afin de collecter et exfiltrer des données sensibles”, ont déclaré les agences.
Log4j est maintenu par l’Apache Software Foundation (ASF), mais le composant open source est utilisé dans un large éventail de logiciels sur les appareils de nombreux autres fournisseurs, notamment VMware, Cisco, IBM et Oracle.
Log4Shell est considéré comme difficile à corriger en raison de l’éventail d’utilisateurs finaux, des fabricants d’appareils et des services concernés.
L’une des vulnérabilités les plus graves
La directrice de la CISA, Jen Easterly, a déclaré que Log4Shell était “l’une des plus graves vulnérabilités que j’ai vues dans toute ma carrière, si ce n’est la plus grave”. Mais en janvier, elle a confirmé que la CISA n’avait pas constaté d’intrusions importantes par le biais de Log4j, tout en prévenant que les attaquants pourraient attendre que l’inquiétude du public concernant Log4Shell s’apaise avant d’exploiter les systèmes concernés.
Les inquiétudes de Jen Easterly semblent être confirmées par les enquêtes ultérieures menées par la CISA et CGCYBER sur les réseaux victimes, qui montrent que les attaquants utilisent la faille à d’autres fins que l’installation de “cryptojackers” ou de logiciels malveillants de cryptomining gourmands en ressources CPU.
Le CGCYBER a mené une mission dans une organisation victime qui utilisait une version vulnérable de VMware Horizon et a découvert que les attaquants avaient installé un logiciel malveillant se faisant passer pour le logiciel de Microsoft destiné aux administrateurs.
Sur un deuxième site victime ayant fait l’objet d’une enquête par les agences, les pirates ont d’abord obtenu l’accès au serveur VMware Horizon, puis ont utilisé le protocole Windows Remote Desktop (RDP) pour accéder aux hôtes de l’environnement de production de la cible, notamment un serveur de gestion de la sécurité, un serveur de certificats, une base de données contenant des données sensibles sur les forces de l’ordre et un serveur de relais de messagerie. Le protocole RDP est la principale méthode utilisée par les attaquants de ransomware pour compromettre un réseau.
Les attaquants du deuxième site victime ont également utilisé RDP pour accéder au réseau de reprise après sinistre.
“Les acteurs malveillants ont obtenu des informations d’identification pour plusieurs comptes, y compris des comptes d’administrateur. On ignore comment ces informations d’identification ont été acquises”, note le CISA.
Source : “ZDNet.com”
