Depuis le 13 décembre, il ne passe pas un jour sans que la vulnérabilité découverte dans la bibliothèque de journalisation Log4j d’Apache ne cristallise l’attention. Il faut dire que cet utilitaire open source sert à des millions d’applications Java et a mobilisé les ressources IT des entreprises pour cartographier les systèmes vulnérables. Les pirates se sont très vites emparés du sujet en multipliant les exploits (botnet, ransomware,…) et en menant des offensives intenses.
Mais jusqu’à présent, on recensait peu de victimes. La suspicion était de mise sur l’affaire Kronos, éditeur de solutions de gestion des temps et des activités et qui comprend comme clients Marriott International, Samsung, Sony, Tesla, Yamaha. Il a été victime d’un ransomware qui pourrait s’appuyer sur la faille dans Log4j.
Le ministère belge de la Défense victime
Aujourd’hui, le ministère Belge de la Défense a annoncé officiellement avoir été victime d’une attaque reposant sur la vulnérabilité Log4Shell. Selon la télévision flamande, VRT, le piratage aurait eu lieu la semaine dernière et « certaines activités du ministère ont été paralysées pendant plusieurs jours ».
Le porte-parole du ministère a confirmé ces informations. « La Défense a découvert jeudi une attaque sur son réseau informatique exposé sur Internet. Des mesures de quarantaine ont été rapidement prises pour isoler les parties touchées. La priorité est de maintenir le réseau de la Défense opérationnel. » En complément, il précise, « Cette attaque fait suite à l'exploitation de la vulnérabilité Log4j, rendue publique la semaine dernière ».
Dridex embarque la faille
Il est probable que d’autres sociétés ou organisations seront victimes de cette brèche. Une chose est sûre, les cybercriminels continuent de peaufiner l’exploitation de la faille. Dernier exemple en date, son intégration dans le malware Dridex ou Meterpreter. Celui-ci avait été développé à l’origine pour voler les informations d'identification bancaire en ligne des victimes. Depuis, le trojan sert à placer différentes charges notamment pour les ransomwares. Le groupe de recherche en cybersécurité Cryptomaleus a donc détecté une version de Dridex (pour Windows) et Metepreter (pour Linux) comprenant une variante du bug Log4shell.
Face à ce feu nourri de cyberattaques, les autorités multiplient les alertes (Anssi, CISA, Cert,…) pour corriger au plus vite les systèmes sensibles. La Fondation Apache a proposé rapidement une version corrigée de Log4j, mais de manière incomplète. L’organisme a été obligé d’émettre une seconde, puis une troisième itération. Pas facile pour les DSI et RSSI de suivre le tempo.