learn.hack.repeat

Étiquette : Log4j

La vulnérabilité Log4j, exploitée dans VMware Horizon pour le déploiement de ransomware

Un groupe de pirates proche du gouvernement iranien utilise la vulnérabilité Log4j pour infecter des serveurs VMware Horizon obsolètes.

Comme le rapportent les chercheurs Amitai Ben Shushan Ehrlich et Yair Rigevsky de la société de sécurité SentinelOne, le groupe cybercriminel appelé « TunnelVison » exploite activement la vulnérabilité Java Log4j (CVE-2021-44228) pour l’exécution de code à distance. Ils peuvent ainsi prendre le contrôle des serveurs affectés et lancer des commandes PowerShell pour activer des portes dérobées, créer des utilisateurs, obtenir des informations et effectuer des mouvements latéraux. VMware utilise généralement Apache Tomcat pour le déploiement d’applications Web Java.

Au cours de l’activité détectée, l’utilisation d’un dépôt Github connu sous le nom de « VmwareHorizon » et de l’utilisateur « protections20 » a été observée.

Il est recommandé de mettre à jour les dernières versions pour éviter ce type d’incident.

Plus d’information:
https://kb.vmware.com/s/article/87073
https://thehackernews.com/2022/02/iranian-hackers-targeting-vmware.html

Guide d’atténuation de Log4j publié par le ministère américain de la Sécurité intérieure

L’Agence pour la cybersécurité et les infrastructures (CISA) du ministère américain de la sécurité intérieure a publié des recommandations sur la manière de remédier à la vulnérabilité désormais répandue d’Apache Log4j.

Tout d’abord, les vendeurs doivent identifier, atténuer et mettre à niveau les produits utilisant Log4j vers la dernière version de la bibliothèque.

Deuxièmement, toutes les organisations doivent prendre immédiatement les mesures suivantes :

  • Identifiez toutes les ressources accessibles via Internet qui permettent la saisie par l’utilisateur et utilisent la bibliothèque Log4j quelque part dans leur infrastructure.
  • Identifiez tous les actifs qui utilisent Log4j.
  • Mettez à jour ou isolez les actifs affectés. Une fois identifiée, l’organisation doit rechercher des indicateurs de compromission et des schémas habituels d’activités post-exploitation. Supposons que l’actif a été compromis.
  • Surveillez les schémas de trafic inhabituels. Par exemple, le trafic sortant lié aux protocoles JNDI, LDAP/RMI, DNS ou DMZ.
Flux d’actions pour identifier les installations vulnérables. Source : https://www.cisa.gov

Une fois le risque maîtrisé, les utilisateurs ou organisations concernés doivent, dans la mesure du possible, mettre à niveau la bibliothèque vers la dernière version disponible. Si une mise à niveau n’est pas possible, les contre-mesures suivantes sont recommandées :

  • Désactiver les logiciels qui utilisent la bibliothèque. Cela pourrait limiter la visibilité d’autres problèmes opérationnels, car ĺa bibliothèque est chargée de prendre les journaux.
  • Bloquer les recherches JNDI. Il s’agit d’une option efficace, mais qui peut nécessiter des travaux de développement et une perte de fonctionnalité.
  • Arrêter temporairement les infrastructures touchées. Cela réduirait la probabilité d’une attaque.
  • Créez un réseau isolé pour séparer les infrastructures touchées du reste du réseau de l’entité.
  • Déployer un WAF pour protéger les infrastructures concernées. Bien qu’elle ne soit pas une solution complète, elle peut contribuer à réduire le nombre de menaces.
  • Appliquez des micro-patchs. Il existe des solutions qui ne font pas partie de la mise à jour officielle mais qui peuvent contribuer à atténuer les risques dans certains cas spécifiques.

Pour rester à jour, la CISA a créé un dépôt Github où elle publiera les mises à jour de ce protocole : https://github.com/cisagov/log4j-affected-db.

Plus d’information :
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

Le réseau du ministère belge de la défense partiellement hors service après une cyberattaque basée sur Log4j

Le ministère belge de la défense a récemment subi une cyberattaque qui a exploité une faille de sécurité dans le logiciel utilisé, laissant une partie du réseau ministériel inopérant.

Depuis jeudi dernier, une partie du réseau informatique du ministère, y compris le service de courrier, était inopérant. Selon les rapports de VRT News, cela pourrait être dû à une cyber-attaque basée sur Log4j d’origine inconnue. Cependant, les techniciens du ministère ont réussi à atténuer l’attaque en quelques jours, déclarant sa neutralisation complète dimanche.

Le porte-parole du ministère, Olivier Séverin, a déclaré que le ministère de la défense a découvert jeudi l’attaque de son réseau informatique, qui a été menée à partir d’Internet. Cependant, elle a rapidement mis en quarantaine les parties concernées. Sa priorité à l’époque était de maintenir le réseau de défense opérationnel et d’informer ses partenaires. Il a ajouté que l’équipe technique était mobilisée tout au long du week-end pour contenir la cyber-attaque et reprendre les activités dès que possible. Dans l’intervalle, la situation en cours a été suivie.

Selon le ministère de la défense, la cyberattaque a exploité la vulnérabilité critique Log4Shell, une faille de sécurité dans la bibliothèque Log4j récemment identifiée. Il s’agit d’une bibliothèque Java utilisée par des millions d’ordinateurs dans le monde entier pour exécuter des services en ligne. Le problème a suscité des inquiétudes au-delà de la communauté de la sécurité. Selon le Centre national de cybersécurité (NCSC) du Royaume-Uni, il s’agit peut-être de la vulnérabilité informatique la plus grave depuis des années.

Cette bibliothèque est largement utilisée pour tester le bon fonctionnement d’une application. On s’attend donc à ce que les attaquants recherchent activement des cibles potentielles pour les systèmes qui n’ont pas encore corrigé la vulnérabilité de Log4j.

Plus d’information :
https://www.vrt.be/vrtnws/en/2021/12/21/cyberattack-partly-downs-defence-department-network/
https://www.brusselstimes.com/belgium/198521/belgian-defence-ministry-network-partially-down-following-cyber-attack

Fièrement propulsé par WordPress & Thème par Anders Norén