Bilan à date de la vulnérabilité Log4j

Un an exactement après l'attaque SolarWinds, qui fit des dégâts sans précédent, et alors que les entreprises s'efforcent encore de sécuriser leur chaîne d'approvisionnement avec l'aide de logiciels visant à les protéger d'attaques visant des tiers, l'exploit de la vulnérabilité Apache Log4j a retenu l'attention des équipes de sécurité pendant tout un week-end.

Contrairement à d'autres cyberattaques d’envergure qui impliquent un seul ou un nombre limité de logiciels, Log4j est fondamentalement intégrée dans chaque produit ou service web basé sur Java. Il est très difficile de la corriger manuellement. Une fois l'exploration publiée (vendredi), des scans ont été effectués (afin d'attribuer les surfaces vulnérables liées à cet incident). Les entreprises n’ayant pas mis en place de protection étaient alors probablement déjà dans la ligne de mire d’acteurs malveillants.

Depuis le vendredi 9 décembre, date à laquelle la vulnérabilité a été signalée, les experts de la sécurité du monde entier sont à l'affût des exploits. Cela signifie qu'une seule couche de protection n'est pas suffisante, et que seule une stratégie de sécurité à plusieurs couches peut fournir une protection efficace. Trois jours après l'apparition de l'épidémie, nous faisions le bilan de ce que nous avons vu jusqu'à présent : une cyberpandémie qui n'a pas encore atteint son paroxysme.

Une véritable cyberpandémie

Si l'on se penche sur les chiffres de l'attaque, recueillis et analysés par nos équipes Check Point Research, on constate une propagation de type pandémique depuis l'apparition de la contamination. Les premiers rapports du 10 décembre faisaient état de milliers de tentatives d'attaques, puis de plus de 40 000 le samedi 11 décembre. Vingt-quatre heures après la contamination initiale, nos capteurs ont enregistré près de 200 000 tentatives d'attaque à travers le monde, exploitant cette vulnérabilité. Au moment où nous écrivons ces lignes, 72 heures après le début de la contamination, le nombre d'attaques a dépassé les 800 000.

Il s'agit clairement de l'une des plus graves vulnérabilités d’internet de ces dernières années, et les dommages potentiels sont incalculables.

Nos experts ont constaté que de nouvelles variations de l'exploit original ont été ajoutées rapidement - plus de 60 en moins de 24 heures. Lorsque nous avons parlé de la cyberpandémie, c'est exactement ce que nous voulions dire - des attaques dévastatrices qui se propagent rapidement.

Les réseaux d'entreprise sont touchés dans le monde entier

L'une des caractéristiques les plus spectaculaires d'une cyberpandémie c'est la présence de vulnérabilités majeures dans des logiciels et des services courants, qui touchent un très grand nombre d'organisations dans le monde et se répandent comme une traînée de poudre.

Depuis que notre système de protection a été mis en place, nous avons empêché plus de 3 700 000 tentatives d'attribution de la vulnérabilité. Plus de 46 % de ces tentatives ont été effectuées par des groupes malveillants connus. Jusqu'à présent, nous avons constaté une tentative d'exploitation de 48 % des réseaux d'entreprise dans le monde.

Mardi (14/12/21), nous avons expliqué comment ce type de tentative avait abouti à une attaque réelle d'un groupe de minage de crypto-monnaies dans 5 pays.

Mercredi (15/12/21), nous avons été en mesure de signaler qu'un groupe de pirates iranien connu (communément associé au régime local), nommé « Charming Kitten » ou APT 35, était également à l'origine d'une tentative d'exploitation de la vulnérabilité Log4j contre 7 cibles en Israël (du secteur gouvernemental et commercial) depuis les dernières 24 heures.

Nous avons bloqué ces attaques, car nous avons été témoins de communications entre un serveur utilisé par ce groupe et les cibles en Israël. Cette attaque s'est déroulée entre 6h et 16h PST (1600-0200 heure de Tel Aviv). Il n'y a aucune preuve de l'activité du groupe sur des cibles situées en dehors d'Israël.

Nous continuerons à enquêter sur les attaques liées à Log4j. Nos rapports des dernières 48 heures prouvent que des groupes de pirates criminels et des acteurs publics sont engagés dans l'exploration de cette vulnérabilité, et nous devrions tous supposer que d'autres opérations de ces acteurs seront révélées dans les prochains jours.

Le cerveau derrière la prévention des menaces

Toutes les vulnérabilités logicielles découvertes par nos experts ou observées, telles que Log4j sont étudiées. Nos experts sont formels, cette vulnérabilité, de par la complexité de sa correction et de sa facilité d'exploitation, va semble-t-il nous accompagner pendant encore des années, à moins que les entreprises et les services ne prennent des mesures immédiates pour prévenir les attaques contre leurs produits et mettent une protection en place.

Depuis l'apparition de la pandémie de COVID-19, la société est habituée à entendre parler de variants, de propagation et d'autres termes issus de la terminologie épidémiologique. Le phénomène auquel le monde assiste avec l'exploitation de cette vulnérabilité est tout à fait identique. À l'approche des fêtes de fin d'année, la menace est toujours présente et plus forte que jamais - alors même que les spécialistes de la cyber sécurité risquent de mettre plus de temps à mettre en place des mesures de protection. Cette vulnérabilité cyber fonctionne exactement comme une pandémie : le virus est très contagieux, il se propage rapidement et présente de multiples variants, ce qui multiplie les possibilités d'attaques.