L’agence néerlandaise de cybersécurité met en garde contre les risques persistants de Log4j

Dutch cybersecurity agency warns of lingering Log4j risks

Dans un avertissement publié jeudi, le Centre national néerlandais de cybersécurité (NCSC) indique que les organisations doivent toujours être conscientes des risques liés aux attaques Log4j et rester vigilantes face aux menaces en cours.

Même si les conséquences des récents incidents liés à l’exploitation de Log4Shell n’étaient « pas trop graves » car de nombreuses organisations ont agi rapidement pour atténuer ces vulnérabilités critiques, le NCSC affirme que les acteurs de la menace envisagent très probablement encore de violer de nouvelles cibles.

« On s’attend à ce que les parties malveillantes continuent de rechercher des systèmes vulnérables et de mener des attaques ciblées dans la période à venir », a déclaré l’agence néerlandaise de cybersécurité.

« Il est donc important de rester vigilant. Le NCSC conseille aux organisations de continuer à surveiller si des systèmes vulnérables sont utilisés et d’appliquer des mises à jour ou des mesures d’atténuation si nécessaire.

« En outre, le NCSC conseille aux administrateurs de rester vigilants en s’informant sur Log4j et sur l’impact possible des abus sur la continuité des activités. »

Les vulnérabilités Log4j (y compris Log4Shell) sont un vecteur d’attaque très attrayant pour les attaquants à motivation financière et soutenus par l’État, étant donné que la bibliothèque de journalisation open source Apache Log4j est utilisée dans un large éventail de systèmes de dizaines de fournisseurs.

Log4Shell, en particulier, peut être exploité à distance sur des serveurs exposés à un accès local ou Internet pour permettre aux attaquants de se déplacer latéralement sur un réseau jusqu’à ce qu’ils atteignent des systèmes internes sensibles.

Après sa divulgation, plusieurs acteurs de la menace ont commencé à déployer des exploits Log4Shell, y compris des groupes de piratage liés aux gouvernements en Chine, en Iran, en Corée du Nord et en Turquie et des courtiers d’accès utilisés par des gangs de rançongiciels.

Log4j est toujours sous exploitation active

L’avertissement du NCSC tombe à point nommé, car plusieurs alertes d’exploitation Log4j en cours dans le monde ont été émises par des organisations gouvernementales et privées du monde entier.

Par exemple, un rapport publié par Microsoft mercredi mentionne des tentatives d’acteurs malveillants inconnus pour propager des attaques Log4j sur les serveurs LDAP internes d’une organisation en exploitant un SolarWinds Serv-U zero-day.

Cependant, les attaques ont échoué car les contrôleurs de domaine Windows ciblés dans l’incident n’étaient pas vulnérables aux exploits Log4j.

Une semaine plus tôt, Microsoft avait mis en garde contre un acteur menaçant chinois suivi sous le nom de DEV-0401 utilisant des exploits Log4Shell sur des serveurs VMware Horizon exposés à Internet pour déployer le rançongiciel Night Sky.

« Dès le 4 janvier, les attaquants ont commencé à exploiter la vulnérabilité CVE-2021-44228 dans les systèmes connectés à Internet exécutant VMware Horizon », a déclaré Microsoft.

« Notre enquête montre que des intrusions réussies dans ces campagnes ont conduit au déploiement du rançongiciel NightSky. »

Les rapports de Microsoft ont été précédés d’une autre alerte émise par le National Health Service (NHS) du Royaume-Uni le 5 janvier concernant des attaquants ciblant les systèmes VMware Horizon avec des exploits Log4Shell.