France
Argentina 
Australia 
Austria 
Brazil 
Canada 
Chile 
Czechia 
Germany 
Greece 
Italy 
Mexico 
New Zealand 
Nigeria 
Norway 
Poland 
Portugal 
Sweden 
Switzerland 
United Kingdom 
United States Les attaques sur Log4j ont commencé le 1er décembre - ZDNet
L'utilisation de la vulnérabilité dans la bibliothèque de journalisation Java Apache Log4j, qui permet l'exécution de code à distance non authentifiée, a pu débuter dès le 1er décembre.
« La première preuve de l'exploitation de #Log4J que nous avons trouvée jusqu'à présent date du 2021-12-01 04:36:50 UTC », a indiqué Matthew Prince, PDG de Cloudflare, sur Twitter.
« Cela suggère que la faille était connue au moins neuf jours avant sa divulgation publique. Cependant, il n'y a pas de preuve d'exploitation massive avant la divulgation publique. »
publicité
Cisco Talos indique dans un billet de blog avoir observé une activité pour la vulnérabilité identifiée CVE-2021-44228 à partir du 2 décembre, et conseille à ceux qui recherchent des indicateurs de compromission d'étendre leurs recherches au moins à cette date.
Talos constate un délai entre le moment où les attaquants effectuent un scan de masse et celui où les réponses se produisent, ce qui pourrait être dû à des systèmes vulnérables, mais non ciblés – tels que les SIEM et les collecteurs de journaux – déclenchés par l'exploit.
Il ajoute que les botnets basés sur Mirai ont commencé à utiliser cette vulnérabilité. Des chercheurs de Netlab 360 ont vu la vulnérabilité Log4j utilisée pour alimenter des botnets basés sur Muhstik et Mirai qui visent des appareils Linux.
Correctifs et solutions de contournementAu cours du week-end, les fournisseurs se sont empressés de diffuser des correctifs et de documenter les solutions de contournement pour les produits affectés. Il en résulte des matrices de produits telles que celles de VMware et Cisco, où certains produits disposent de correctifs, d'autres de solutions de contournement et d'autres encore restent vulnérables. Les deux fournisseurs ont attribué une note de gravité de 10/10 pour cette vulnérabilité.
Les solutions de contournement suggérées consistent généralement à définir l'indicateur log4j2.formatMsgNoLookups sur true, ou à supprimer la classe JndiLookup du classpath utilisé par Java.
Un post Reddit de NCC Group est régulièrement mis à jour et montre comment l'exploit peut être utilisé pour exfiltrer les secrets AWS, ainsi que toutes sortes de propriétés du système Java.
Cryptomining et gamingSophos ajoute que cette vulnérabilité est déjà utilisée par des cryptomineurs.
De manière plus ludique, un développeur de mods Minecraft a pu utiliser la vulnérabilité pour transformer un serveur Minecraft en un serveur jouant à Doom.
Kevin Beaumont, chercheur en sécurité, exopliqe que la défense en profondeur est « probablement la meilleure option » : « pour donner un avant-goût de Log4Shell, il faudra des semaines pour établir la surface d'attaque (elle est importante), puis peut-être un mois ou plus pour que les correctifs soient disponibles ».
Plusieurs chercheurs ont néanmoins entrepris de compiler les réponses des éditeurs de logiciel et les alertes publiées au sujet de cette vulnérabilité. On peut ainsi retrouver sur Github le travail du chercheur français Swithak en la matière, ou en anglais la liste maintenue par le chercheur américain Royce Williams.
Source : ZDNet.com
