Les vulnérabilités Log4j sont à prendre très au sérieux par les entreprises qui sont sous pression depuis la fin d'année. Pour celles qui ne se rendraient pas vraiment compte de la situation, l'agence fédérale américaine du commerce vient de mettre les points sur les i. « La FTC a l'intention d'utiliser toute son autorité légale pour poursuivre les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l'exposition à Log4j ou à des vulnérabilités connues similaires à l'avenir », a fait savoir l'autorité. La FTC espère bien que les entreprises passent à l'action pour patcher leurs systèmes informatiques et éviter des compromissions majeures de données : « Lorsque des vulnérabilités sont découvertes et exploitées, cela engendre un risque de perte ou de violation d'informations personnelles, de perte financière et d'autres dommages irréversibles », explique l'organisme. « Il est essentiel que les entreprises et leurs fournisseurs s'appuyant sur Log4j agissent maintenant, afin de réduire la probabilité de préjudice pour les consommateurs et d'éviter les poursuites judiciaires de la FTC ».
L'agence fédérale est en effet habilitée à demander réparation (sanction financière, interdiction d'activité...) envers toutes les entreprises qui manqueraient à leurs obligations d'assurer la protection et l'intégrité des données clients. Dans son billet, la FTC mentionne par ailleurs également la loi Gramm-Leach-Bliley exigeant des institutions financières qu'elles protègent les données sensibles. Pour les entreprises récalcitrantes ou pas encore décidées à mener les mesures correctives appropriées, les amendes peuvent être lourdes. Jusqu'à atteindre plusieurs centaines de millions de dollars ? C'est en tout cas ce que laisse à penser la FTC en citant l'exemple de l'affaire Equifax : « Le défaut de correction d'une vulnérabilité connue a exposé de manière irréversible les informations personnelles de 147 millions de consommateurs. Equifax a accepté de payer 700 millions de dollars pour régler les actions de la Federal Trade Commission, du Consumer Financial Protection Bureau et de cinquante États », a rappelé l'organisme.
Des kits d'exploits s'appuyant sur les failles Log4j
La FTC mentionne la CVE-2021-44228 (RCE) dans son alerte mais il en existe trois autres : CVE-2021-45046 (RCE), CVE-2021-44832 (RCE) et une autre de type DoS (CVE-2021-45105). L'agence n'est pas la seule organisation a tirer la sonnette d'alarme. C'est également le cas du CISA qui a publié un guide de mesures ou encore de Microsoft qui a dressé en début de semaine un point actualisé de la situation, observant que des attaquants de niveau -étatiques ou non utilisent bon nombre de même techniques d'inventaire pour localiser des cibles. « Il existe un potentiel élevé d'utilisation accrue des vulnérabilités [...] Les tentatives d'exploitation sont restées élevées au cours des dernières semaines de décembre. Nous avons observé de nombreux attaquants existants ajouter des exploits de ces vulnérabilités dans leurs kits et tactiques de logiciels malveillants existants », a notamment expliqué l'éditeur.
Les exploits liés à ces failles, regroupées sous l'appellation Log4Shell, se sont multipliés depuis le mois dernier. Il faut dire que la bibliothèque de journalisation Log4j d'Apache Logging est utilisée par des millions de clients dans le monde, constituant un vecteur d'attaque fertile pour les cybercriminels en tout genre. L'application de la dernière mise à jour 2.17.1 est donc plus que conseillées. Découverte initialement le 9 décembre, la première CVE-2021-4422 aurait été utilisée dans la foulée pour mener 1,9 million d'opérations malveillantes et le cybergang derrière le ransomware Conti serait parvenu à concevoir une chaine d'attaque complète pour piéger les entreprises. Les exemples d'exploits se multiplient un peu partout dans le monde comme au ministère de la Défense en Belgique) ou encore une plateforme de cryptomonnaie ONUS au Vietnam.