La vulnérabilité Log4Shell RCE attire l'attention des cybercriminels

Les cybercriminels sont toujours à l'affût de nouvelles vulnérabilités qu'ils peuvent utiliser pour faciliter leurs attaques. L'une des vulnérabilités récentes les plus populaires s'appelle Log4Shell. Il affecte la plate-forme de journalisation Apache Log4j, qui est utilisée pour gérer les journaux du serveur Web et des applications. La vulnérabilité permet l'exécution de code à distance (RCE) qui permet aux criminels d'effectuer toutes sortes de tâches sur les appareils concernés. Bien que le problème de sécurité critique ait déjà été corrigé avec la sortie de Log4j 2.15.0, il existe encore des milliers de systèmes qui exécutent une version plus ancienne et vulnérable du service.

Quelles charges utiles sont utilisées à côté de la vulnérabilité Log4Shell ?

Bien que la vulnérabilité Log4Shell ne soit publique que depuis quelques jours, de nombreux groupes de menaces en profitent déjà. Certaines des attaques les plus notoires exécutées avec l'utilisation de la vulnérabilité Log4Shell incluent :

  • Planter un malware d'extraction de crypto-monnaie avec l'utilisation du cheval de Troie de porte dérobée Kinsing. Cette campagne particulière utilise un ensemble complexe de scripts shell, qui effectuent diverses tâches sur les appareils infectés, telles que la désactivation des services consommant des ressources matérielles et l'élimination d'autres logiciels malveillants de cryptomining. Cette dernière étape est courante lorsqu'on parle de chevaux de Troie d'extraction de crypto-monnaie, car leurs opérateurs ne veulent pas qu'un autre malware interfère avec leurs opérations.
  • La vulnérabilité Log4Shell a également été utilisée par des opérateurs de botnets basés sur Mirai et Mushtik. Les criminels à l'origine de ces opérations sont susceptibles de récolter les ressources matérielles et réseau des systèmes infectés pour exécuter des attaques par déni de service distribué (DDoS).
  • Plantation de balises Cobalt Strike fissurées. Ce cadre de test d'intrusion populaire est régulièrement utilisé à mauvais escient par les cybercriminels qui ont des intentions malveillantes.

Comme vous pouvez le constater, les cybercriminels ne perdent pas de temps lorsqu'il s'agit d'exploiter les dernières vulnérabilités des logiciels et services Internet. Gardez une longueur d'avance en appliquant régulièrement les dernières mises à jour logicielles et correctifs de firmware, garantissant la sécurité de vos appareils.

December 15, 2021
Uncategorized