La faille Log4shell a été rendue publique il y a moins d’une semaine, mais on observe déjà les premières attaques ransomware contre des systèmes Windows vulnérables.

Les craintes se concrétisent. De premières attaques ransomwares qui exploitent la faille Log4shell ont été observées par l’entreprise de sécurité informatique Bitdefender, et ce dès le week-end qui a suivi sa découverte le 10 décembre 2021. Cette vulnérabilité 0-day permet d’exécuter du code à distance sans authentification et d’accéder aux serveurs concernés.

Il s’agit d’une faille rêvée pour des opérateurs de ransomware vu la facilité d’entrée dans les systèmes vulnérables qu’elle fournit. La liste de logiciels concernés par la vulnérabilité est astronomique, et beaucoup de grands groupes étaient exposés : Amazon, Tesla, Apple, Steam, Minecraft ou même des services de Google.

Hacker // Source : Louise Audry pour Numerama
Source : Louise Audry pour Numerama

Des attaques contre des systèmes Windows

Le rapport de Bitdefender explique que la plupart des attaques observées jusqu’à maintenant visaient des systèmes Linux. Mais ceux sous Windows ne sont pas épargnés : un ransomware appelé Khonsari chiffre les données de systèmes en passant par la faille Log4shell. Les données deviennent illisibles, et les pirates exigent une rançon pour les rendre à leurs propriétaires.

La situation ne risque pas de s’améliorer. Dans un autre rapport, Check Point Software constatait des tentatives d’attaques sur 44% des systèmes mondiaux. On voit également des malwares qui exploitent la faille apparaitre dans les cercles de pirates informatiques.

Le rapport de Bitdefender pointe aussi que certains groupes cybercriminels exploitent Log4shell pour d’autres attaques informatiques, comme des dénis de services (Ddos soit l’utilisation d’un réseau de machines pour saturer un site de demandes) ou des botnet (des logiciels malveillants qui assimilent des appareils pour créer un réseau de machines infectées) qui minent des cryptomonnaies. Le dirigeant de l’entreprise de sécurité informatique Cloudflare a même déclaré sur Twitter le 14 décembre observer plus de 1000 tentatives d’attaque par secondes.

Une vulnérabilité patchée, mais un problème qui demeure

Un premier puis un second patch ont été produits par les bénévoles de la fondation Apache, qui développe la bibliothèque Java Log4j (un ensemble de fonctionnalités qui permet notamment de développer des logiciels) à l’origine de la vulnérabilité. Ces derniers corrigent la faille, mais tout n’est pas réglé pour autant.

La bibliothèque Log4j est très répandue, parfois dans des sous-systèmes difficiles à recenser, c’est pourquoi entreprises et administrations consciencieuses ont passées ces derniers jours à faire l’inventaire de leurs systèmes à la recherche de la faille. Les géants de la tech ont très rapidement sorti des mises à jour pour protéger leurs utilisateurs, mais beaucoup de logiciels sont encore en cours d’analyse comme le montrent les listes tenues par des chercheurs.

Les principaux problèmes risquent surtout de concerner les petites structures, entreprises comme éditeurs. Pas forcément aussi bien fournies en capacité et en compétences, elles seront assurément les plus vulnérables sur le long terme.

Mise à jour 16h30 : ajout de la citation du dirigeant de Cloudflare