Des acteurs menaçants exploitent la vulnérabilité Log4j pour déployer Khonsari Ransomware
Français
Quelques jours après la divulgation de Log4Shell, une vulnérabilité critique zero-day CVE-2021-44228 dans la bibliothèque Apache Log4j, les chercheurs ont désormais identifié des acteurs de la menace exploitant la faille Log4Shell pour déployer une nouvelle variante de ransomware Khonsari et un cheval de Troie d’accès à distance Orque.
Les acteurs de la menace auraient exploité la faille en utilisant des botnets comme Mirai et Muhstik contre des systèmes vulnérables pour propager des logiciels malveillants. Selon un rapport de Bitdefender, les attaquants ont ciblé des serveurs Linux et des systèmes fonctionnant sur le système d’exploitation Windows.
« Cette tentative d’exploitation de la vulnérabilité Log4j utilise le code malveillant hxxp://3.145.115[.]94/Classe principale pour télécharger une charge utile supplémentaire. Le dimanche 11 décembre, Bitdefender a observé cette charge utile comme un téléchargement de fichier binaire .NET malveillant à partir de hxxp://3.145.115[.]94/zambo/groenhuyzen.exe. Il s’agit d’une nouvelle famille de ransomware Khonsari après l’extension utilisée sur les fichiers cryptés. Une fois exécuté, le fichier malveillant répertoriera tous les lecteurs et les chiffrera entièrement, à l’exception du lecteur C: », indique le rapport.
Sommaire
Deuxième vulnérabilité Log4j découverte
La deuxième vulnérabilité critique (CVE-2021-45046) affecte toutes les versions de Log4j de 2.0-beta9 à 2.12.1 et 2.13.0 à 2.15.0, et pourrait permettre aux attaquants de contrôler les données d’entrée de Thread Context Map (MDC) lorsque le La configuration de la journalisation utilise une disposition de modèle autre que celle par défaut avec une recherche de contexte ou un modèle de mappe de contexte de thread pour créer des données d’entrée malveillantes à l’aide d’un modèle de recherche JNDI entraînant une attaque DDoS. Cependant, CVE-2021-45046 peut être atténué en appliquant le correctif publié par Apache Software Foundation (ASF) dans son dernier avis.
CISA recommande de corriger le défaut de Log4Shell avant Noël
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment demandé aux organisations de corriger les systèmes affectés et vulnérables à la faille Log4Shell d’ici Noël. CISA a ajouté les vulnérabilités Log4Shell à sa liste de failles de sécurité activement exploitées ainsi que 12 autres vulnérabilités. En outre, l’agence a également annoncé un portail dédié qui fournit des conseils sur la vulnérabilité Log4Shell à toutes les organisations des secteurs public et privé aux États-Unis.
« Pour que ces vulnérabilités soient corrigées dans les produits et services qui utilisent les versions affectées de Log4j, les responsables de ces produits et services doivent implémenter ces mises à jour de sécurité. Les utilisateurs de ces produits et services doivent se référer aux fournisseurs de ces produits/services pour les mises à jour de sécurité », a déclaré CISA.
Des experts s’attaquent à la question
Commentant les menaces croissantes avec la vulnérabilité Log4j, Glen Pendley, directeur adjoint de la technologie chez Tenable, a déclaré : « Log4Shell, une vulnérabilité critique d’Apache Log4j, se situe dans une ligue au-dessus de toutes les autres vulnérabilités que nous avons vues au cours des dernières décennies. Cela donne des défauts comme Heartbleed et Shellshock, une course pour leur argent en raison de leur omniprésence et de leur dévastation. Tout dans les équipements industriels lourds, les serveurs réseau, jusqu’aux imprimantes, et même le Raspberry Pi de votre enfant est potentiellement affecté par cette faille. Certains systèmes concernés peuvent être sur site, d’autres peuvent être hébergés dans le cloud, mais peu importe où ils se trouvent, la faille est susceptible d’avoir un impact.
Les cybercriminels se frottent déjà les mains avec joie alors que les premiers signes d’activité de ransomware ont commencé à apparaître. Le pire, c’est que nous ne sommes même pas encore dans le vif du sujet. Ne soyez pas surpris lorsque des perturbations majeures se produisent au cours des prochaines semaines et des prochains mois, indiquant Log4j comme la cause première. »
