Log4j est un framework de logging très populaire, utilisé par un nombre important de logiciels, services cloud et autres applications répandus. Les vulnérabilités des versions antérieures à la 2.15.0 permettent à un acteur malveillant de récupérer des données d’une application affectée ou de son système d’exploitation sous-jacent, ou encore d’exécuter du code Java alors que ce dernier s’exécute normalement et uniquement avec les autorisations données dans l’environnement d’exécution Java.
Ce code peut alors lancer des commandes et des scripts contre le système d’exploitation local, qui peut à son tour télécharger du code malveillant supplémentaire et donner une élévation de privilège et un accès à distance persistant.
Bien que la version 2.15.0 de Log4j, publiée au moment où la vulnérabilité est devenue publique, corrige ces problèmes, elle laisse les systèmes vulnérables dans certains cas à des attaques par déni de service. Les organisations doivent évaluer quelles versions de Log4j se trouvent dans leurs applications développées en interne, et appliquer les correctifs aux versions les plus récentes (2.12.2 pour Java 7 et 2.16.0 pour Java 8), sans oublier d’appliquer également les correctifs logiciels des fournisseurs dès qu’ils sont disponibles.
Sophos continue de surveiller les scans de vulnérabilités de Log4j. Dans le passé, nous avons constaté des pics importants, puis des baisses significatives lorsqu’il était question de scans de vulnérabilités et de tentatives d’exploit. Dans le cas de Log4j, nous n’avons pas constaté de baisse, mais plutôt des scans et des tentatives provenant d’une infrastructure mondialement distribuée, et ce quotidiennement. Nous nous attendons à ce que ce haut niveau d’activité se poursuive, en raison de la nature multiforme de la vulnérabilité et de l’ampleur des correctifs nécessaires.
Comme indiqué dans cet article, dans certains cas, une adresse IP située dans une région géographique envoie une demande comportant des URL pour Log4j qui se connectent à des serveurs situés ailleurs, voire parfois à plusieurs serveurs différents. Si certains de ces tests ou “recherches” sont bénins et réalisés par des testeurs d’intrusion et autres chercheurs en sécurité, une grande partie est malveillante.
Par exemple, la télémétrie de Sophos montre que 59% des tentatives d’exploit essaient d’établir un contact entre Log4j et des adresses Internet en Inde. Plus de 40 % des tentatives d’exploit essaient de contacter Log4j avec des adresses Internet aux États-Unis.
Toutefois, la provenance de ces tentatives se situe principalement en Chine et en Russie, la majorité de ces tentatives étant liées à la cybercriminalité. Un serveur en Russie, connecté à Kinsing, un botnet de minage de cryptomonnaie, est responsable de plus de 10 % des tentatives d’exploit que Sophos a observées, soit plus de 33 % du trafic provenant de ce pays.
