Log4Shell : la faille aurait-elle été contenue?
« Il n’y a pas eu d’exploitation manifeste des vulnérabilités Log4j, mais des inquiétudes sur les attaques futures », selon le CISA, l’agence américaine de cybersécurité.
Selon la CISA (Cybersecurity and Infrastructure Security Agency pour Agence de cybersécurité et de sécurité des infrastructures), les inconvénients qui avaient été prévus une derrière la faille de sécurité Log4Shell n’ont pas été observés véritablement. Il semblerait entre autres que si le risque demeure quand même, de manière pratique, on ne peut pas nier que l’exploitation de la vulnérabilité aurait été surestimée. Cependant, la vigilance est toujours de mise.
Cet article va aussi vous intéresser : Faille de sécurité : après Log4Shell, une vulnérabilité critique encore découverte
« Nous avons surveillé activement les acteurs de la menace les plus susceptibles d’exploiter la vulnérabilité (baptisée Log4Shell), et pour le moment, son exploitation n’est pas mise en évidence dans des intrusions importantes », a signifié Jen Easterly, directeur de la CISA, lors d’une déclaration de presse. « Mais les adversaires peuvent utiliser cette vulnérabilité pour obtenir un accès persistant en vue de mener des attaques plus tard, c’est pourquoi nous nous mobilisons fortement sur la correction de la vulnérabilité dans tout le pays et sur la détection des intrusions quand elles se produisent », ajoute ce dernier.
Pourtant, le 10 janvier dernier, Microsoft avait fait un signalement sur une potentielle exploitation de la vulnérabilité dans des systèmes qui était ouvert sur internet. En particulier à travers l’exécution de VMware Horizon. De plus les enquêtes du géant américain du numérique avaient permises de prouver que des intrusions initiées sur la base de ce genre d’attaques avait réussi et même avait conduit au déploiement d’un rançongiciel connu sous la dénomination de NightSky. Cependant, il est sûr et certain, que des hackers l’ont bel et bien exploité mais pour des attaques à portée mineure.
« Nous constatons une certaine prévalence de ce que nous appellerions des activités de bas niveau, comme la mise en route d’un minage de cryptomonnaie et l’installation de logiciels malveillants qui pourraient être utilisés dans des botnets », a noté Eric Goldstein, le directeur exécutif adjoint pour la cybersécurité de la CISA.
De son côté, l’organisme américain a fait de son mieux pour aider les entreprises privées américaines et même étrangères ainsi que les agences fédérales à contenir la menace que représentait la faille de sécurité Log4Shell. En effet, à la découverte de la vulnérabilité, l’agence américaine n’a pas hésité à déclencher un ensemble de processus pour imposer à l’ensemble des structures concernées par la faille de sécurité sur sa juridiction, le déploiement rapide effectif as des correctifs de sécurité mise à disposition par la Fondation Apache.
La CISA a compris que pour accélérer le processus de correction de cette faille de sécurité, elle devait : « s’appuyer sur la directive opérationnelle contraignante pour mieux hiérarchiser les mesures correctives et s’assurer que des mesures d’atténuation étaient en place pour les actifs technologiques pour lesquels les correctifs n’étaient pas encore disponibles », souligne M. Goldstein.
L’organisme américain a déployé lors des premières heures de la découverte de la vulnérabilité catalogue publique qui permettrait de recevoir des soumissions qui détaillent l’ensemble des produits étant susceptibles d’être touchés par la vulnérabilité. À ce jour la plate-forme a enregistré près de 2800 soumissions.
« En passant par un service partagé, une plate-forme de divulgation des vulnérabilités gérée par la société de divulgation Bugcrowd, les chercheurs en sécurité ont trouvé 17 produits jusque-là non identifiés, qui étaient vulnérables à Log4Shell. Tous ont été corrigés avant une potentielle intrusion », note M. Goldstein.
Si à l’origine, la CISA et une agence qui est habilité à gérer la cybersécurité du gouvernement fédéral, dans ce cas de figure l’organisme américain a essayé tant bien que mal bd les entreprises privées à « comprendre et de hiérarchiser la prévalence des bibliothèques et des composants vulnérables dans leurs environnements grâce à une nomenclature des logiciels (SBOM), sorte de liste d’ingrédients » des bibliothèques, explique Eric Goldstein.
Les SBOM dont il est question ici ont « une valeur inestimable car ils peuvent aider une entreprise à comprendre automatiquement si elle est exposée à une vulnérabilité donnée, et à passer rapidement à la remédiation », souligne ce dernier.
Accédez maintenant à un nombre illimité de mot de passe :