[Nicolas Coolman]

La faille zero-day Log4Shell

 

Une faille « zero day » touche iCloud et des centaines de services

iCloud, mais aussi Steam, Minecraft, Twitter, Cloudflare et des centaines de services et d’entreprises sont concernés par une faille « zero day » qui touche une bibliothèque Java de journalisation très populaire.

La vulnérabilité, baptisée Log4Shell par les chercheurs en sécurité de LunaSec, (Sources)

Un vaccin pour la faille Log4Shell

Si vous vous intéressez un peu à la sécurité informatique, il ne vous aura pas échappé que le 9 décembre dernier, une faille 0day touchant Apache Log4j avait été divulguée.

Baptisée Log4Shell, cette faille qui touche log4j de la version 2.0 à 2.14.1 a obtenu un score CVSS de 10/10 en matière de gravité. (Sources)

Une importante faille de sécurité met en danger de nombreux serveurs sur Internet

Des experts en sécurité informatique ont alerté, vendredi 10 novembre, sur une importante vulnérabilité logicielle mettant en danger un grand nombre de serveurs (les ordinateurs qui hébergent des services et sites Web). (Sources)

5 questions sur « Log4Shell », la faille informatique qui menace des milliers d’entreprises

Des milliers d’entreprises sont affectées par une vulnérabilité grave, fraîchement découverte dans la bibliothèque logicielle Log4j. Si des correctifs existent déjà pour réparer la faille, des cybercriminels tentent de profiter qu’ils ne soient pas encore déployés pour infecter leurs victimes avec des logiciels malveillants. Explications. (Sources)

Dans le domaine de la sécurité informatique, une vulnérabilité Zero-Day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu.
L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie Zero Day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.
Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.

Le logiciel libre Apache HTTP Server est un serveur HTTP créé et maintenu au sein de la fondation Apache. Jusqu'en avril 2019, ce fut le serveur HTTP le plus populaire du World Wide Web. Il est distribué selon les termes de la licence Apache.  L'installation d'un serveur Web Apache permet de vérifier l'apparence de votre site internet dans un environnement spécifique comme Windows par exemple. En effet ce serveur de test local gratuit exécute vos scripts hors ligne, il est souvent combiné avec l'utilisation de bases de données MySQL.

Le cloud computing, ou l’informatique en nuage ou nuagique ou encore l’infonuagique (au Québec), est l'exploitation de la puissance de calcul ou de stockage de serveurs informatiques distants par l'intermédiaire d'un réseau, généralement internet. Ces serveurs sont loués à la demande, le plus souvent par tranche d'utilisation selon des critères techniques (puissance, bande passante, etc.) mais également au forfait. Le cloud computing se caractérise par sa grande souplesse : selon le niveau de compétence de l'utilisateur client, il est possible de gérer soi-même son serveur ou de se contenter d'utiliser des applicatifs distants en mode SaaS. Selon la définition du National Institute of Standards and Technology (NIST), le cloud computing est l'accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables. Il s'agit donc d'une délocalisation de l'infrastructure informatique.

Cloudflare est un service de proxy inverse, permettant principalement de lutter contre les attaques de déni de service et, dans une certaine mesure, de cacher l'adresse IP d'origine d'un serveur. Il propose également des fonctionnalités d'optimisation des pages, de détection d'intrusion ou encore de CDN. Tout le trafic d'un site utilisant le service passe par le réseau Cloudflare, réparti à travers une centaine de points de présence dans le monde. Cloudflare propose un service gratuit de base, et des options payantes (protection DDoS avancée par exemple). Parmi ses clients, on peut citer le gouvernement turc, Stratfor, Laughing Squid ou Metallica. L'infrastructure du service s'appuie sur une version modifiée de Nginx, et intègre la technologie SPDY développée par Google.

Nicolas Coolman

[Nicolas Coolman]

Le nouvel exploit zero-day pour la bibliothèque Java Log4j est un cauchemar pour les entreprises

Des exploits de preuve de concept pour une vulnérabilité critique du jour zéro dans l’omniprésente bibliothèque de journalisation Apache Log4j Java sont actuellement partagés en ligne, exposant les utilisateurs à domicile et les entreprises à des attaques d’exécution de code à distance en cours. Log4j est développé par la Fondation Apache et est largement utilisé par les applications d’entreprise et les services cloud.
Sources)

Nicolas Coolman

[Nicolas Coolman]

Des chercheurs publient un « vaccin » contre la vulnérabilité critique de Log4Shell

Tôt ce matin, les chercheurs ont publié un exploit de validation de principe pour une vulnérabilité d’exécution de code à distance zero-day dans Apache Log4j, suivi comme CVE-2021-44228 et surnommé “Log4Shell”.

Alors qu’Apache a rapidement publié Log4j 2.15.0 pour résoudre la vulnérabilité, la vulnérabilité est triviale à exploiter, et les entreprises de cybersécurité et les chercheurs ont rapidement vu des attaquants analyser et tenter de compromettre les appareils vulnérables. Sources)

Nicolas Coolman

[Nicolas Coolman]

Les pirates commencent à pousser des logiciels malveillants dans les attaques mondiales de Log4Shell

Les acteurs de la menace et les chercheurs recherchent et exploitent la vulnérabilité Log4j Log4Shell pour déployer des logiciels malveillants ou trouver des serveurs vulnérables. Dans cet article, nous avons compilé les charges utiles, les analyses et les attaques connues utilisant la vulnérabilité Log4j.

Tôt vendredi matin, un exploit a été rendu public pour une vulnérabilité critique du jour zéro surnommée « Log4Shell » dans la plate-forme de journalisation Apache Log4j Java. Sources)

Nicolas Coolman

[Nicolas Coolman]

Log4j : liste des produits vulnérables et avis des fournisseurs

Apache a publié Log4j 2.15.0 pour remédier à la vulnérabilité de gravité maximale, actuellement suivie sous le nom de CVE-2021-44228 , également appelée Log4Shell ou LogJam.

Alors que l’exploitation massive n’a commencé qu’après la mise à disposition gratuite du code d’exploitation, des attaques ont été détectées depuis le début du mois, selon les données de Cloudflare et Cisco Talos. Sources)

Nicolas Coolman

[Nicolas Coolman]

Vulnérabilité dans Apache Log4j

Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. Sources)

Nicolas Coolman

[Nicolas Coolman]

Vulnérabilités de sécurité Apache Log4j

Cette page répertorie toutes les vulnérabilités de sécurité corrigées dans les versions publiées d’Apache Log4j 2. Chaque vulnérabilité se voit attribuer une note d’impact sur la sécurité par l’équipe de sécurité d’Apache Logging . veuillez noter que cette note peut varier d’une plateforme à l’autre. Nous listons également les versions d’Apache Log4j que la faille est connue pour affecter, et lorsqu’une faille n’a pas été vérifiée, listons la version avec un point d’interrogation.
Sources)

Nicolas Coolman

[Nicolas Coolman]

Apple corrige la vulnérabilité Log4Shell dans iCloud

Selon le site Electic Light Company, Apple a corrigé la faille dans iCloud. Le site explique que les 9 et 10 décembre, les chercheurs avaient pu faire la démonstration de la vulnérabilité en se connectant à iCloud via le web, et le 11 décembre, cette même brèche avait disparu. L’exploitation ne semble pas avoir affecté macOS. Sources)

Nicolas Coolman

[Nicolas Coolman]

Faille Log4shell : les attaques ransomware démarrent déjà

Les craintes se concrétisent. De premières attaques ransomwares qui exploitent la faille Log4shell ont été observées par l’entreprise de sécurité informatique Bitdefender, et ce dès le week-end qui a suivi sa découverte le 10 décembre 2021. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Log4Shell : ce qu’il faut savoir sur la faille Java qui sème la panique

Le niveau de risque n’est pas le même en fonction de la version de Java. Le principal vecteur d’attaque (LDAP) ne semble effectivement pas exploitable à partir de la 6u211, de la 7u201, de la 8u191 et de la 11.0.1. D’autres protocoles (HTTP/S, DNS…) restent cependant utilisables pour charger le code. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Faille dans Log4j : L’immense travail d’inventaire des systèmes touchés

Commençons par les grands acteurs de l’IT. Amazon Web Services a actualisé plusieurs de ses services dont OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass et API Gateway. La firme met à jour sur cette page l’ensemble des services impactés et la liste s’allonge rapidement. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Le ransomware Conti utilise le bogue Log4j pour pirater les serveurs VMware vCenter

L’opération de ransomware Conti utilise l’exploit critique Log4Shell pour accéder rapidement aux instances internes de VMware vCenter Server et chiffrer les machines virtuelles.

Le gang n’a pas perdu beaucoup de temps à adopter le nouveau vecteur d’attaque et il s’agit de la première opération “de haut niveau” connue pour armer la vulnérabilité Log4j. (Sources)

Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent mais sans véritable garantie. De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Conti est un ransomware observé depuis 2020. Toutes les versions de Microsoft Windows sont connues pour être affectées. Le logiciel utilise sa propre implémentation de chiffrement AES-256 qui utilise jusqu'à 32 threads logiques individuels, ce qui le rend beaucoup plus rapide que la plupart des ransomwares.  Le même gang exploite le ransomware Ryuk. En décembre 2021, l'opération de ransomware Conti utilise l'exploit critique Log4Shell pour accéder rapidement aux instances internes de VMware vCenter Server et pour chiffrer les machines virtuelles. Conti aurait aurait extorquer plus de 150 millions de dollars. Fin décembre 2021, les services de la société américaine Shutterfly subissent une attaque du ransomware Conti avec le cryptage de milliers d’appareils et le vol de données de l'entreprise.

Nicolas Coolman

[Nicolas Coolman]

Log4Shell : le ransomware Khonsari s’attaque aux serveurs Minecraft

Microsoft a rapporté avoir vu des serveurs Minecraft vulnérables à Log4Shell être infectés avec le ransomware Khonsari. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Mise à niveau vers log4j 2.16 ? Surprise, il y a un DoS de réparation 2.17

Tout est prêt pour le week-end ? Pas si vite. Hier, BleepingComputer a résumé tous les CVE log4j et logback connus à ce jour.

Depuis le début de la saga critique du jour zéro de log4j la semaine dernière, les experts en sécurité ont maintes et maintes fois recommandé la version 2.16 comme la version la plus sûre à utiliser. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Faille zero-day de Log4j : Ce que vous devez savoir et comment vous protéger

La vulnérabilité de Log4j affecte tout un ensemble de briques du SI, du cloud aux outils de développement et aux dispositifs de sécurité. Voici ce qu’il faut y rechercher, selon les dernières informations, pour se rassurer.(Sources)

Nicolas Coolman

[Nicolas Coolman]

Mise à jour des incidents Log4j – Tournant dramatique des événements

Dans le dernier article de blog de l’équipe de recherche de Cyberint, CVE-2021-44228 : Log4J2 Remote Code Execution , publié la semaine dernière, nous avons discuté de cette vulnérabilité en détail. Toutes ces menaces et plus, que nous couvrirons dans ce blog. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Protection contre la vulnérabilité Log4j pour les points de terminaison

Découvrez comment Harmony Endpoint empêche les attaques liées à log4j et accélère la détection et l’investigation des violations. Les équipes de Check Point ont réagi rapidement et mis en œuvre des améliorations de détection et de prévention dédiées à Harmony Endpoint pour assurer une protection complète.

Check Point Software Technologies est aujourd'hui un fournisseur mondial spécialisé dans les solutions de sécurité. Il propose des logiciels de sécurité, de nombreux services comme l'IPS et l'anti-bot, mais aussi des solutions de transport sécurisé VPN. Avec Check Point, Protégez votre réseau d'entreprise contre les cyber-attaques les plus sophistiquées grâce à une sécurité de haut niveau, une prévention en temps réel et les passerelles de sécurité les plus performantes au monde. Sécurisez le Cloud avec une plateforme de sécurité unifiée native. Protéger les appareils et l'accès des utilisateurs à distance D'où que vous vous connectiez

Nicolas Coolman

[Nicolas Coolman]

Leçons LOG4J – Comment SASE protège des exploits de Zero-Day

Dans le cas de la vulnérabilité Apache Log4J , les clients de Check Point Harmony Connect ( SASE ) disposaient d’une protection IPS dans les heures suivant la divulgation des vulnérabilités. Cela signifie que même si les clients SASE n’avaient pas le temps de corriger leurs serveurs ou de mettre à jour leurs applications, ils étaient toujours protégés par les mises à jour automatiques et en temps réel des signatures IPS dans Harmony Connect SASE. Aucune gestion manuelle des correctifs n’est requise.

Nicolas Coolman

[Nicolas Coolman]

Vulnérabilités Log4j : informations sur les attaques

Les données Symantec montrent la variation et la portée des attaques. Mineur XMRig – Nous avons également observé des attaquants installer le mineur de crypto-monnaie XMRig dans le cadre d’une activité post-exploitation liée à l’exploitation de Log4shell. Le mineur est téléchargé via une simple commande PowerShell. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Une fintech touchée par le piratage de log4j refuse de payer une rançon de 5 millions de dollars

L’une des plus grandes plateformes vietnamiennes de crypto trading, l’ONUS, a récemment subi une cyberattaque sur son système de paiement exécutant une version vulnérable de Log4j. Assez rapidement, les acteurs de la menace ont approché l’ONUS pour extorquer une somme de 5 millions de dollars et ont menacé de publier les données des clients si l’ONUS refusait de se conformer. (Sources)

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

Nicolas Coolman

[Nicolas Coolman]

Mirai Malware qui se propage prétendument à l’aide de Log4Shell repéré dans la nature

FortiGuard Labs est au courant d’une nouvelle variante de Mirai Linux qui se propage à l’aide de CVE-2021-44228 (Log4Shell). Il s’agit peut-être de la première variante Mirai équipée du code d’exploitation Log4Shell incorporé aux côtés d’une variante Mirai, puisque la vulnérabilité a été révélée le 9 décembre 2021. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Comment sécuriser les charges de travail dans le paysage des menaces dynamiques

Si les attaques Log4j ont appris quelque chose à Internet, c’est que la sécurité en couches est essentielle car vous ne savez jamais d’où pourrait émerger le prochain exploit.

Qui aurait pensé que l’outil de journalisation open source inoffensif et omniprésent Log4j pouvait être utilisé pour l’exécution de code à distance ? Et pourtant, nous voici encore une fois rappelés à l’importance d’une sécurité proactive, préventive et multicouche. (Sources)

Check Point Software Technologies est aujourd'hui un fournisseur mondial spécialisé dans les solutions de sécurité. Il propose des logiciels de sécurité, de nombreux services comme l'IPS et l'anti-bot, mais aussi des solutions de transport sécurisé VPN. Avec Check Point, Protégez votre réseau d'entreprise contre les cyber-attaques les plus sophistiquées grâce à une sécurité de haut niveau, une prévention en temps réel et les passerelles de sécurité les plus performantes au monde. Sécurisez le Cloud avec une plateforme de sécurité unifiée native. Protéger les appareils et l'accès des utilisateurs à distance D'où que vous vous connectiez

Nicolas Coolman

[Nicolas Coolman]

La FTC avertit les entreprises de sécuriser les données des consommateurs contre les attaques Log4J

La Federal Trade Commission (FTC) des États-Unis a averti aujourd’hui qu’elle s’en prendrait à toute entreprise américaine qui ne protégerait pas les données de ses clients contre les attaques Log4J en cours.

“La FTC a l’intention d’utiliser toute son autorité légale pour poursuivre les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l’exposition à Log4j ou à des vulnérabilités connues similaires à l’avenir”, a déclaré l’agence gouvernementale américaine. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Le NHS met en garde contre les pirates exploitant Log4Shell dans VMware Horizon

Le National Health Service (NHS) du Royaume-Uni a publié une alerte cyber d’un groupe de menaces inconnues ciblant les déploiements de VMware Horizon avec des exploits Log4Shell.

Log4Shell est un exploit pour CVE-2021-44228 , une faille critique d’exécution de code à distance arbitraire dans Apache Log4j 2.14, qui fait l’objet d’une exploitation active et à grand volume depuis décembre 2021. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Quelles sont les conséquences de Log4j pour les entreprises ? Sept stratégies pour protéger votre organisation ?

Keysight exploite un réseau mondial de honeypot pour suivre les tendances des activités malveillantes sur Internet sous la supervision de notre centre de recherche Application and Threat Intelligence (ATI). (Sources)

Nicolas Coolman

[Auteur]

Messages