Log4j : À quel point sommes-nous foutus ?

Eh bien, cela a certainement été une année pour les cyberdébâcles , alors, bien sûr, pourquoi ne pas lier les choses avec une belle et grosse vulnérabilité de sécurité qui affecte presque tout sur Internet ? Cela semble juste.

En bref, le bogue Apache log4j est mauvais . Selon Jen Easterly, directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, c'est "l'une des plus graves" qu'elle ait vues de toute sa "carrière". Lors d'une récente apparition dans les médias, Easterly a déclaré aux journalistes que les responsables fédéraux s'attendent pleinement à ce que "la vulnérabilité soit largement exploitée par des acteurs sophistiqués", et son collègue, Jay Gazlay, du bureau de gestion des vulnérabilités de la CISA, a utilement révélé que le bogue affecte probablement "des centaines de personnes" . des millions d'appareils.

PLUS : Qu'est-ce que Web3 et pourquoi devriez-vous vous en soucier ?

Bien que les internautes ordinaires ne puissent pas faire grand-chose dans toute cette situation, il peut être utile de savoir ce qui se passe. Voici un bref aperçu de toutes ces horreurs.

Le programme concerné, Apache's log4j, est une bibliothèque de journalisation gratuite et open-source utilisée par de nombreuses entreprises. Les bibliothèques de journalisation sont implémentées par les ingénieurs pour enregistrer le fonctionnement des programmes ; ils permettent l'audit de code et constituent un mécanisme de routine pour enquêter sur les bogues et autres problèmes de fonctionnalité. Étant donné que log4j est gratuit et largement approuvé, les entreprises, grandes et petites, l'utilisent pour toutes sortes de choses. L'ironie, bien sûr, est que cet outil de vérification des bogues a maintenant un bogue.

Les chercheurs en sécurité ont pris l'habitude d'appeler la vulnérabilité "Log4Shell" car une exploitation appropriée peut entraîner un accès shell (également appelé "accès par code à distance") au système d'un serveur. Sa désignation officielle, quant à elle, est CVE-2021-44228 et elle porte un indice de gravité de 10 sur l'échelle du Common Vulnerability Scoring System, apparemment le pire que vous puissiez obtenir. Il a été rendu public pour la première fois le 9 décembre, il y a moins d'une semaine, après avoir été initialement repéré par un membre de l'équipe Cloud Security d'Alibaba, un homme du nom de Chen Zhaojun.

Techniquement parlant, le bogue est une vulnérabilité d'exécution de code à distance de type zero-day, ce qui signifie qu'il "permet aux attaquants de télécharger et d'exécuter des scripts sur des serveurs ciblés, les laissant ouverts à un contrôle à distance complet", ont écrit les chercheurs de Bitdefender dans une récente ventilation de la vulnérabilité. C'est aussi assez facile à exploiter - les criminels n'ont pas à faire grand-chose pour causer beaucoup de problèmes.

En raison de l'omniprésence de log4j, la plupart des plus grandes plates-formes sur Internet sont liées à la débâcle. Il existe plusieurs  listes qui ont été publiées qui prétendent montrer exactement qui est affecté et qui pourrait être affecté, même si, à ce stade, une comptabilité totalement complète semble être une ambition donquichotte. Selon divers rapports, les personnes touchées comprennent de grands noms comme Apple, Twitter, Amazon, LinkedIn, CloudFlare, etc.

Les entreprises qui ont définitivement confirmé leur implication ont fréquemment signalé que de nombreux produits et services devaient être corrigés. La société de cloud computing VMWare, par exemple, rapporte que 44 de ses produits sont impactés. Le géant des réseaux Cisco affirme que 35 de ses outils sont vulnérables. Fortigard, une société de cybersécurité de premier plan, a récemment révélé qu'au moins une douzaine de ses produits étaient concernés. La liste se rallonge de plus en plus.

Amazon est évidemment l'une des plus grandes entreprises de cette liste. Le géant de la technologie publie régulièrement des mises à jour liées à ses produits et services (dont il semble qu'il y en ait pas mal), tandis qu'Apple, quant à lui, a récemment confirmé qu'iCloud était affecté par le bogue et s'est ensuite corrigé . D'autres entreprises enquêtent toujours pour savoir si elles ont été foutues ou non, y compris des géants de la technologie comme Blackberry, Dell, Huawei et Citrix, ainsi que des entreprises technologiques de premier plan comme SonicWall, McAfee, TrendMicro, Oracle, Qlik et bien d'autres.

Mais le bogue a également le potentiel de s'étendre en dehors de la technologie et de déranger des industries que vous n'associeriez pas naturellement à ce genre de problèmes. Dragos, qui analyse la sécurité en ce qui concerne les systèmes opérationnels et industriels, l'a récemment écrit :

Donc, c'est la mauvaise nouvelle. La bonne nouvelle? JK, il n'y a pas de bonnes nouvelles. Au lieu de cela, il y a d'autres mauvaises nouvelles : cette vulnérabilité béante est déjà le théâtre de tentatives d'exploitation massive par des hordes de cybercriminels. Les chercheurs en sécurité sur Internet ont commencé à publier des rapports sur l'activité qu'ils constatent, et ce n'est pas particulièrement joli.

Une grande partie du problème est que la plupart des criminels semblent avoir découvert la vulnérabilité log4j à peu près au même moment que tout le monde. Ainsi, les tentatives d'exploitation sur les systèmes et plates-formes vulnérables ont augmenté de façon exponentielle depuis la semaine dernière, alors que les pirates du Web cherchent à tirer parti de cette situation particulièrement horrible. La société de cybersécurité Check Point a récemment publié des données montrant qu'elle avait observé une explosion de tentatives d'exploit depuis les premières révélations sur le bogue. Le rapport note :

Sergio Caltagirone, vice-président de Threat Intelligence chez la société de cybersécurité Dragos, a déclaré à Gizmodo que ce type d'activité était à peu près normal. « Il est très probable et attendu que les rançongiciels profitent éventuellement de la vulnérabilité log4j. D'autant plus que les systèmes vulnérables sont probablement des actifs critiques tels que des serveurs », a-t-il déclaré dans un e-mail.

En effet, la société de cybersécurité Bitdefender a publié mardi des recherches qui semblent montrer des tentatives d'exploitation sur des machines vulnérables par une nouvelle famille de rançongiciels connue sous le nom de "Khonsari". Selon la recherche, les pirates du rançongiciel Khonsari ont ciblé les systèmes Microsoft, laissant derrière eux des notes de rançon.

Et, bien que les rançongiciels soient l'une des principales préoccupations, d'autres professionnels de la cybersécurité ont écrit sur toute une variété de tentatives d'exploitation qu'ils voient, allant de l'extraction de cryptomonnaies et des installations de botnet à des activités de type reconnaissance, telles que des scans généraux et le déploiement de balises Cobalt-Strike.

Dans de nombreux cas, ces attaques semblent venir rapidement et furieusement. « Nous constatons plus de 1 000 tentatives d'exploitation par seconde. Et les charges utiles deviennent plus effrayantes. Les charges utiles de ransomware ont commencé à entrer en vigueur au cours des dernières 24 heures », a tweeté Matthew Prince, PDG de Cloudflare, qui surveille également apparemment les activités d'exploitation.

Pire encore, une deuxième vulnérabilité, baptisée CVE-2021-45046 , a été découverte cette semaine. Les chercheurs de LunaSec ont déclaré que les systèmes précédemment corrigés pourraient encore fonctionner à l'encontre du dernier bogue et Apache a déjà publié une mise à jour pour atténuer les risques.

Si vous êtes un utilisateur Web occasionnel, la seule chose que vous pouvez vraiment faire à ce stade est de mettre à jour vos appareils et applications lorsque vous y êtes invité et d'espérer que les plates-formes sur lesquelles vous comptez sont suffisamment rapides pour identifier les vulnérabilités, évoquer des correctifs, et publier des mises à jour. En bref : Accrochez-vous, tout le monde.