Près de la moitié des téléchargements de Log4j sont encore dangereusement exposés

Près de la moitié des téléchargements de Log4j sont encore dangereusement exposés

Un mois après la divulgation de CVE-2021-44228, alias Log4Shell, une vulnérabilité critique dans le paquet Java Apache Log4j, jusqu’à 40 % des nouveaux téléchargements risquent encore d’être compromis malgré la disponibilité de versions sûres, ce qui constitue une menace pour l’ensemble du tissu de l’internet.

Les données recueillies par Sonatype, spécialiste de l’automatisation de la chaîne logistique, révèlent que Log4j – un composant essentiel de milliers d’outils, des produits grand public aux logiciels d’entreprise et aux applications Web – a été téléchargé plus de 10 350 000 fois depuis la divulgation de Log4Shell, et que plus de 40 % de ces téléchargements concernaient des versions vulnérables.

Selon Sonatype, rien qu’au Royaume-Uni, 44,7 % des 121 483 téléchargements de Log4j effectués un jour non spécifié au cours de la semaine écoulée étaient vulnérables, et le jour précédent, 43 % des 208 259 téléchargements étaient à risque.

« Le fait que nous soyons toujours confrontés à des pourcentages aussi élevés de téléchargements vulnérables est révélateur d’un problème beaucoup plus important en matière de sécurité de la chaîne d’approvisionnement », a déclaré Ilkka Turunen, directeur technique de Sonatype field.

« Si les entreprises ne comprennent pas ce que contient leur logiciel, elles ne sont pas en mesure d’agir avec la rapidité requise lorsque des menaces apparaissent – et dans ce cas, étant donné l’énorme popularité de Log4j, cela les expose à un risque important.

« Heureusement, il existe des versions sûres du composant, donc pour les entreprises qui ont agi rapidement, leur risque a été considérablement réduit », a-t-il déclaré. « Toutefois, cette situation doit servir d’avertissement urgent pour que les entreprises comprennent ce que contient leur logiciel, où se trouvent les dépendances, et qu’elles n’utilisent pas de composants vulnérables lorsque des composants sûrs sont disponibles. »

Bien que l’ampleur de l’utilisation de composants non sécurisés reste inacceptable, certains signes indiquent que les équipes informatiques réagissent mieux à ce stade : depuis le 5 janvier, Sonatype a déclaré avoir constaté un taux de doption de 40
du nombre de téléchargements des versions les plus récentes et sécurisées de Log4j (2.17 et 2.17.1).

Les directeurs de la CISA américaine ont déclaré hier que, bien qu’aucune cyberattaque à grande échelle n’ait encore été découverte par le biais de Log4Shell, ils s’attendent à ce que la vulnérabilité reste utilisée « à l’avenir ». CVE-2021-44228 reste un sujet d’actualité pour les défenseurs, l’attention se concentrant sur la possibilité de son utilisation dans les attaques de ransomware, ce qui est compréhensible étant donné la grande notoriété de ces incidents au cours des 18 derniers mois.

Un grand nombre d’entreprises de sécurité recherchent activement les instances Log4j vulnérables et les opérateurs de ransomware qui en tirent parti – bien que, selon la CISA, aucune attaque majeure n’ait encore été détectée, ce qui laisse penser que les équipes de ransomware attendent peut-être leur heure.

Ces derniers jours, une souche surnommée NightSky, qui semble se propager parmi les utilisateurs de VMware Horizon utilisant des produits vulnérables à Log4Shell, est particulièrement préoccupante. Cela fait suite à un avertissement lancé la semaine dernière par les cyber experts du NHS, selon lequel un groupe de menaces non spécifié ciblait les serveurs VMware Horizon afin d’établir une persistance sur les réseaux cibles, en injectant des shells web malveillants qui pouvaient ensuite être utilisés pour mener d’autres activités malveillantes.

Microsoft a déclaré qu’un groupe de menaces probablement basé en Chine et suivi sous le nom de DEV-0401 était susceptible de déployer NightSky via Log4Shell, à partir du mardi 4 janvier 2022 ou autour de cette date. Ce groupe a déjà utilisé d’autres ransomwares, notamment LockFile, AtomSilo et Rock, déployés par le biais de diverses vulnérabilités divulguées publiquement, et semble privilégier l’utilisation d’une infrastructure de commande et de contrôle qui usurpe les domaines de sociétés de sécurité légitimes, y compris de grands noms comme Sophos et Trend Micro.

« Nous avons observé que de nombreux attaquants existants ajoutent des exploitations de ces vulnérabilités dans leurs kits et tactiques de logiciels malveillants existants, depuis les mineurs de pièces de monnaie jusqu’aux attaques à l’aide du clavier », écrit l’équipe cybernétique de Microsoft dans une mise à jour publiée lundi 10 janvier.

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*