La société d’infrastructure Web Cloudflare a révélé mercredi que les acteurs de la menace tentaient activement d’exploiter un deuxième bogue divulgué dans l’utilitaire de journalisation Log4j largement utilisé, ce qui oblige les clients à se déplacer rapidement pour installer la dernière version alors qu’un barrage d’attaques continue de frapper les systèmes non corrigés avec une variété de logiciels malveillants.
La nouvelle vulnérabilité, affectée de l’identifiant CVE-2021-45046, permet aux adversaires de mener des attaques par déni de service (DoS) et fait suite à la divulgation de l’Apache Software Foundation (ASF) selon laquelle le correctif d’origine pour le bogue d’exécution de code à distance – CVE-2021-44228 alias Log4Shell – était » incomplet dans certaines configurations autres que celles par défaut. » Le problème a depuis été résolu dans Log4j version 2.16.0.
« Cette vulnérabilité est activement exploitée et toute personne utilisant Log4j doit mettre à jour vers la version 2.16.0 dès que possible, même si vous avez déjà mis à jour vers 2.15.0 », Andre Bluehs et Gabriel Gabor de Cloudflare mentionné.
Plus troublant encore, des chercheurs de la société de sécurité Praetorian ont mis en garde contre une troisième faiblesse de sécurité distincte dans Log4j version 2.15.0 qui peut « permettre l’exfiltration de données sensibles dans certaines circonstances ». Des détails techniques supplémentaires sur la faille ont été retenus pour empêcher une exploitation ultérieure, mais il n’est pas immédiatement clair si cela a déjà été corrigé dans la version 2.16.0.
« 2.16 désactive les recherches JNDI par défaut et, par conséquent, est la version la plus sûre de Log4j2 à notre connaissance », a déclaré Anthony Weems, ingénieur principal en sécurité chez Praetorian, à The Hacker News. Lorsqu’il a été contacté pour obtenir une réponse, le comité de gestion de projet (PMC) d’Apache Logging Services a confirmé que « nous avons été en contact avec l’ingénieur de Praetorian pour bien comprendre la nature et l’étendue du problème ».
Le dernier développement survient alors que des groupes de menaces persistants avancés de Chine, d’Iran, de Corée du Nord et de Turquie, comptant comme Hafnium et Phosphorus, se sont jetés dans la mêlée pour opérationnaliser la vulnérabilité et découvrir et continuer à exploiter autant de systèmes sensibles que possible pour suivre -sur les attaques. Sur 1,8 million de tentatives pour exploiter la vulnérabilité Log4j ont été enregistrées jusqu’à présent.
Microsoft Threat Intelligence Center (MSTIC) a déclaré avoir également observé des courtiers d’accès utilisant la faille Log4Shell pour obtenir un accès initial aux réseaux cibles qui ont ensuite été vendus à d’autres affiliés de ransomware. En outre, des dizaines de familles de logiciels malveillants qui couvrent toute la gamme des mineurs de crypto-monnaie et des chevaux de Troie d’accès à distance aux réseaux de zombies et aux shells Web ont été identifiées à ce jour en profitant de cette lacune.
Bien qu’il soit courant que les acteurs de la menace s’efforcent d’exploiter les vulnérabilités nouvellement divulguées avant qu’elles ne soient corrigées, la faille Log4j souligne les risques découlant des chaînes d’approvisionnement logicielles lorsqu’un logiciel clé est utilisé dans une large gamme de produits chez plusieurs fournisseurs et déployé par leurs clients à travers le monde.
« Cette vulnérabilité transversale, indépendante du fournisseur et affectant à la fois les logiciels propriétaires et open source, laissera un large éventail d’industries exposées à l’exploitation à distance, notamment l’électricité, l’eau, l’alimentation et les boissons, la fabrication, les transports, etc. , la société de cybersécurité industrielle Dragos c’est noté.
« Alors que les défenseurs des réseaux ferment des chemins d’exploitation plus simplistes et que les adversaires avancés intègrent la vulnérabilité dans leurs attaques, des variantes plus sophistiquées des exploits Log4j apparaîtront avec une probabilité plus élevée d’avoir un impact direct sur les réseaux de technologie opérationnelle », a ajouté la société.