La faille « Log4Shell » serait toujours exploitée par des attaquants alors même que de nombreux systèmes sont encore vulnérables.
Découverte en novembre 2021, la faille Log4Shell continue de sévir. Il s’agit d’une vulnérabilité zero day d’exécution de code à distance. Sa particularité ? Elle affecte Apache Log4j, un framework de journalisation open source utilisé par des milliers de services, sites web, applications et produits dédiés aux particuliers comme aux entreprises.
Dans un avis commun, la Cybersecurity & Infrastructure Security Agency (CISA) et le United States Coast Guard Cyber Command (CGCYBER) tirent la sonnette d’alarme auprès des entreprises vulnérables. Car les hackers exploitant la faille Log4Shell dans les serveurs VMwareHorizon et Unified Access Gateway (UAG) sont toujours là !
« Les acteurs des cybermenaces, y compris les acteurs des menaces persistantes avancées (APT) parrainés par l'État, ont continué à exploiter CVE-2021-44228 (Log4Shell) dans les serveurs VMware Horizon® et Unified Access Gateway (UAG) ». Et ce, dans le but d’obtenir un accès initial dans le réseau des entreprises qui n’auraient pas appliqué les correctifs « ou les solutions de contournement disponibles ».
Des systèmes toujours vulnérables
La faille aurait dû effectivement être corrigée en appliquant les correctifs VMware publiés en décembre et janvier dernier. Mais force est de constater que ça n’est pas le cas et que des milliers d’entreprises sont toujours des cibles potentielles. La CISA et le CGYBER « recommandent à toutes les organisations disposant de systèmes affectés qui n'ont pas immédiatement appliqué les correctifs ou les solutions de contournement disponibles de supposer la compromission et de lancer des activités de chasse aux menaces ».
Une exploitation réussie de la faille peut mener un attaquant à envoyer une commande spécialement conçue à un système affecté et exécuter un code malveillant afin de prendre le contrôle dudit système. Et potentiellement collecter et exfiltrer des données sensibles.