Une enquête menée par la CISA fournit non seulement les indicateurs de compromission, mais elle met aussi en évidence les raisons pour lesquelles la vulnérabilité Log4Shell persistera indéfiniment.
L’agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security, CISA) a enquêté sur les attaques exploitant la vulnérabilité Log4Shell dans des produits tiers comme VMware Horizon et Unified Access Gateway (UAG). Pas plus tard qu’en juin, l’agence a publié des indicateurs de compromission (IOC) collectés à partir d’incidents sur lesquels elle a enquêté, soulignant l’impact durable de cette vulnérabilité découverte il y a plus de six mois. « Entre mai et juin 2022, la CISA a fourni un support d’incident à distance à une entreprise où l’agence a observé des téléchargements PowerShell Log4Shell suspects », a déclaré l’agence dans un rapport publié la semaine dernière. « Au cours de l’assistance à distance, le CISA a confirmé que l’entreprise avait été compromise par des cyberacteurs malveillants qui ont exploité Log4Shell dans un serveur VMware Horizon non corrigé ou pour lequel aucune solution de contournement n’avait été appliquée ».
La longue traîne de Log4Shell
La vulnérabilité Log4Shell, identifiée sous la référence CVE-2021-44228, est une faille critique d’exécution de code à distance dans Log4j, une bibliothèque de journalisation Java très répandue. Signalée pour la première fois fin novembre en tant que faille zero day, la vulnérabilité Log4Shell a fait l’objet d’un correctif dans Log4j le 6 décembre, provoquant une vague d’applications de correctifs et de mesures d’atténuation à l’échelle de l’industrie. Cependant, à l’époque, les experts en sécurité avaient déjà prévenu que le problème aurait probablement un impact à long terme, car Log4j était utilisé dans des millions d’applications d’entreprise et de produits tiers basés sur Java. Ils estimaient à juste titre qu’il serait très difficile et très long pour les équipes de sécurité de découvrir, de suivre et de corriger toutes les instances de la faille sur leurs réseaux, d’autant plus qu’elles dépendaient des correctifs publiés par de nombreux fournisseurs de logiciels différents.
En mai, l’entreprise Sonatype, spécialisée dans la sécurité de la chaîne d’approvisionnement des logiciels, qui gère et supervise le référentiel central des composants Java, a signalé que 38 % des téléchargements de Log4j effectués depuis décembre concernaient toujours des versions vulnérables de la bibliothèque et que ce taux se maintenait à un téléchargement sur trois par jour. Ce qui laisse penser que de nombreux développeurs d’applications ne se sont pas précipités pour mettre à jour les dépendances de leurs applications afin d’inclure des versions corrigées de Log4j. Mais ce niveau toujours élevé de téléchargement pourrait également être révélateur de la complexité de la chaîne ordinaire de dépendances dans l’écosystème open-source et de sa profondeur. Certaines applications n’ont peut-être pas Log4j comme dépendance directe, mais ils peuvent dépendre d’autres paquets qui à leur tour dépendent d’autres paquets, dont l’un pourrait inclure Log4j à l’insu du développeur de l’application principale, sauf s’il utilise des solutions de surveillance de la composition des logiciels. Ce n’est cependant pas le cas pour les attaques rapportées par le CISA, car VMware a publié des versions corrigées, ainsi que des solutions de contournement manuelles pour Horizon et UAG depuis décembre, et il appartenait donc aux entreprises concernées de les déployer en temps voulu.
Des téléchargeurs de fichiers PowerShell
Dans les attaques étudiées par le CISA, les pirates ont exploité la faille Log4Shell pour déployer des scripts PowerShell qui agissaient comme des téléchargeurs de chevaux de Troie. Le recours à PowerShell pour la diffusion de malwares est très courant chez les cybercriminels. En effet, PowerShell est un langage de script puissant et une technologie intégrée par défaut à Windows pour automatiser les tâches d’administration du système. Le blocage total de PowerShell sur l’ensemble des systèmes d’une entreprise n’est pas envisageable et l’utilisation de règles de détection PowerShell agressives pourrait générer de nombreux faux positifs.
Outre les scripts PowerShell, le CISA a également récupéré deux fichiers XML utilisés pour configurer des tâches programmées à des fins de persistance sur les systèmes compromis. Un fichier exécutable écrit en Python a également été trouvé. Il était utilisé pour analyser les adresses IP locales à la recherche d’autres systèmes et de ports ouverts. De plus, les scripts PowerShell déployaient aussi Nmap, un scanner réseau open-source, ce qui montre que l’un des objectifs des attaquants était la reconnaissance du réseau et les mouvements latéraux. L’agence a publié des descriptions détaillées des fichiers et des artefacts utilisés dans les attaques, ainsi que des hachages de fichiers et d’autres détails dont pourraient se servir les équipes de sécurité pour créer des détections dans leurs propres entreprises.