Chargement

Log4j un nouveau vecteur d'attaque peut affecter les hôtes locaux sans accès à Internet

2 min de lecture

Open Source Sécurité
Log4j un nouveau vecteur d'attaque peut affecter les hôtes locaux sans accès à Internet

Contexte : la semaine dernière, les organisations informatiques se sont efforcées de répondre à la vulnérabilité Log4j affectant les systèmes du monde entier. Alors que les experts en sécurité ont continué à identifier des bogues supplémentaires dans l'utilitaire de journalisation, les administrateurs réseau ont travaillé sans relâche pour identifier et fermer tout accès potentiel qui pourrait permettre l'exploitation de la vulnérabilité. Malheureusement, un vecteur récemment découvert a prouvé que même des systèmes isolés sans connexion Internet peuvent être tout aussi vulnérables, ce qui complique davantage le problème déjà énorme.

Les chercheurs de Blumira ont d'autres mauvaises nouvelles pour la communauté informatique qui lutte contre les failles de sécurité de Log4j. Alors que les résultats précédents indiquaient que les systèmes concernés nécessiteraient un certain type de réseau ou de connectivité Internet, la récente découverte de la société de sécurité affirme désormais que les services fonctionnant en tant qu'hôte local sans connexion externe peuvent également être exploités. La découverte a dirigé les chercheurs vers plusieurs autres cas d'utilisation décrivant des approches alternatives pour compromettre les actifs non corrigés exécutant Log4j.

Un article technique de Blumira CTO, Matthew Warner, décrit comment un acteur malveillant peut avoir un impact sur les machines locales vulnérables. Warner déclare que les WebSockets, qui sont des outils permettant une communication rapide et efficace entre les navigateurs Web et les applications Web, pourraient être utilisés pour fournir des charges utiles aux applications et serveurs vulnérables sans connectivité Internet. Ce vecteur d'attaque spécifique signifie que les actifs non connectés mais vulnérables pourraient être compromis simplement par un attaquant envoyant une requête malveillante à l'aide d'un WebSocket existant. Le message de Warner détaille les étapes spécifiques qu'un acteur malveillant prendrait pour lancer l'attaque basée sur WebSocket.

Le vecteur d'attaque nouvellement identifié entraînera un plus grand nombre d'actifs vulnérables dans des secteurs déjà fortement touchés. Selon Check Point Software, plus de 50 % de toutes les organisations gouvernementales, militaires, financières, de distribution, de FAI et d'éducation sont actuellement affectées par la vulnérabilité Log4j.


Warner note qu'il existe des méthodes disponibles que les organisations peuvent utiliser pour détecter les vulnérabilités Log4j existantes :

  • Exécutez Windows PoSh ou des scripts multiplateformes conçus pour identifier où Log4j est utilisé dans les environnements locaux
  • Recherchez toute instance de ".*/java.exe" utilisée comme processus parent pour "cmd.exe/powershell.exe"
  • Assurez-vous que votre organisation est configurée pour détecter la présence de Cobalt Strike, TrickBot et des outils d'attaque courants associés

Les organisations concernées peuvent mettre à jour leurs instances de Log4j vers verss la dernière version de Log4j (Log4j 2.17 actuellement) pour atténuer la vulnérabilité de l'outil. Cela inclut toute organisation qui peut avoir appliqué la correction précédente, la version 2.15 et 2.16, qui s'est avérée plus tard inclure son propre ensemble de vulnérabilités associées.


Voir notre précédent article sur Log4j


Rédigé par INSYS INSYS

Partager sur

Recommandé pour vous

Vulnérabilité Apache Log4J, une menace extrêmement critique qui frappe des milliers d'applications ! Comment s'en prémunir ?

Vulnérabilité Apache Log4J, une menace extrêmement critique qui frappe des milliers d'applications ! Comment s'en prémunir ?

Vulnérabilité Apache Log4j, un package de journalisation largement utilisé pour Java a été trouvée. La vulnérabilité, qui peut permettre à un attaquant d'exécuter du code arbitraire en envoyant des messages de journal spécialement conçus, a été identifiée comme CVE-2021-44228 et nommée Log4Shell.

Le parfait guide pour optimiser votre serveur Nginx

Le parfait guide pour optimiser votre serveur Nginx

NGINX, prononcé comme « engine-ex », est un serveur web open-source qui, depuis son succès initial en tant que serveur web, est maintenant aussi utilisé comme reverse proxy, cache HTTP, et load balancer.