Les agences de cybersécurité d’Australie, du Canada, de Nouvelle-Zélande, des États-Unis et du Royaume-Uni ont publié mercredi un avis conjoint en réponse à l’exploitation généralisée de multiples vulnérabilités dans la bibliothèque logicielle Log4j d’Apache par des adversaires infâmes.
« Ces vulnérabilités, en particulier Log4Shell, sont graves », ont déclaré les agences de renseignement dans le Nouveau conseils. « Les cyber-acteurs sophistiqués analysent activement les réseaux pour potentiellement exploiter Log4Shell, CVE-2021-45046 et CVE-2021-45105 dans des systèmes vulnérables. Ces vulnérabilités sont susceptibles d’être exploitées sur une période prolongée. »
Un attaquant peut exploiter Log4Shell (CVE-2021-44228) en soumettant une requête spécialement conçue à un système vulnérable qui oblige ce système à exécuter du code arbitraire. CVE-2021-45046, d’autre part, permet l’exécution de code à distance dans certaines configurations autres que celles par défaut, tandis que CVE-2021-45105 pourrait être exploité par un attaquant distant pour provoquer une condition de déni de service (DoS).
Depuis que les vulnérabilités sont devenues publiques ce mois-ci, les serveurs non corrigés ont été assiégés par des groupes de ransomwares et des pirates informatiques d’États-nations, qui ont utilisé le vecteur d’attaque comme moyen d’accéder aux réseaux pour déployer des balises Cobalt Strike, des cryptomineurs et des logiciels malveillants de botnet.
L’évaluation des attaques par le Federal Bureau of Investigation (FBI) des États-Unis a également soulevé la possibilité que les acteurs de la menace intègrent les failles dans « les systèmes cybercriminels existants qui cherchent à adopter des techniques d’obscurcissement de plus en plus sophistiquées ». Compte tenu de la gravité des vulnérabilités et de l’augmentation probable de l’exploitation, les organisations sont invitées à identifier, atténuer et mettre à jour les actifs concernés dès que possible.
À cette fin, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également publié un utilitaire de scanner pour identifier les systèmes vulnérables à la vulnérabilité Log4Shell, reflétant un outil similaire publié par le Centre de coordination CERT (CERT/CC).
La dernière mesure prise par les gouvernements arrive en tant qu’Apache Software Foundation (ASF) publié mises à jour pour Apache HTTP Server 2.4.51 pour corriger deux failles — CVE-2021-44790 (score CVSS : 9,8) et CVE-2021-44224 (score CVSS : 8,2) — dont le premier pourrait être utilisé comme arme par un attaquant distant pour exécuter du code arbitraire et prendre le contrôle d’un système affecté.
