La faille de log4j massivement exploitée

Ce sont des centaines de milliers, peut-être des millions qui sont observées par les chercheurs en sécurité ces trois derniers jours. Botnets, trojans, ransomwares, cryptojackers… tous tentent d’exploiter cette vulnérabilité de l’outil de journalisation d’Apache.

Le 29 novembre, un salarié d’Alibaba signale à Apache l’existence d’une vulnérabilité dans log4j 2, rendue publique le 9 décembre. Mais dès le 2 décembre, des acteurs malveillants auraient entrepris de l’exploiter, à en croire Talos. Pour Cloudflare, la première preuve d’exploitation remonterait à la veille, le 1er décembre. Mais aucun éditeur ne rapporte d’exploitation massive de la faille avant sa divulgation.

Le weekend dernier, les voyants sont passés au rouge. « Le nombre de tentatives détectées atteignant déjà plusieurs centaines de milliers » rapportait Sophos en début de semaine. Chez Cato  Networks, « cette vulnérabilité a été exploitée par des attaquants de bas niveau pour un profit immédiat, mais il y a aussi des attaques qui correspondent à des acteurs de menace sophistiqués opérant avec un objectif final plus élaboré et dangereux qu'un simple "snatch and grab" [vol à l’arrachée] ».

Ransomwares

Ainsi, Sophos a remarqué que les premières attaques exploitant CVE-2021-44228 proviennent de botnets de cryptominages ciblant des serveurs Linux. Etaient également observées à la fin du weekend des tentatives d’extraction d’informations, notamment des clés AWS, et surtout des sondes, beaucoup de sondes, visant selon l’éditeur britannique le protocole LDAP et Java Remote Interface (RMI).

Bitdefender, de son côté, a observé que des attaquants tentent d’exploiter cette faille pour pousser un ransomware, Khonsari, y compris sur des machines tournant sous Windows. Le RAT (Remote Access Trojan) Orcus serait lui aussi de la partie via l’injection d’un shellcode. Enfin, plusieurs botnets, dont Muhstik, ont adopté cette vulnérabilité et l’exploitent activement pour étendre leurs réseaux.