La déferlante attendue n’a pas tardé : des cybercriminels venant de Chine, de Corée du Nord, d’Iran et de Turquie – soutenus par leur Etat – ont commencé à exploiter la faille Log4Shell pour déployer des logiciels malveillants.
« La grande majorité de l’activité observée relève du balayage mais des activités d’exploitation et de post-exploitation ont également été observées », annonce Microsoft. « En fonction de la nature de la vulnérabilité, une fois que l’attaquant obtient un accès complet et le contrôle d’une application, il peut réaliser une myriade d’objectifs ».
Parmi les activités malveillantes en cours figurent le minage de crypto-monnaies, l’usage de Cobalt Strike pour tester les possibilités de vol d’identifiants et d’exfiltration de données des systèmes compromis, et l’installation de ransomware.
En ce qui concernent les groupes de pirate actifs, le Microsoft Threat Intelligence Center (MSTIC) a notamment identifié l’iranien Phosphorous qui a modifié l’exploit Log4j pour son usage. Hafnium, un gang soutenu par la Chine, a également utilisé Log4Shell pour « cibler l’infrastructure de virtualisation afin d’étendre son ciblage typique ». Par ailleurs, des ‘courtiers d’accès’ (access brokers) utilisent la faille de Log4j pour mettre un pied dans la porte des réseaux cibles sur Linux et Windows.
Une liste de produits affectés par la faille Log4Shell a été publiée sur GitHub. Cela permet de constater que les clients de Cisco vont être bien occupés à déployer des correctifs au cours des prochaines semaines. Plusieurs logiciels de virtualisation ne disposent pas encore de correctif.
Enfin, le Cert-FR vient d’actualiser ses recommandations ce jour car la dernière version 2.15.0 d’Apache log4j, conseillée jusqu’à présent pour remédier au problème, est affectée par une autre vulnérabilité.