L’Agence américaine de cybersécurité (CISA), ainsi que le Coast Guard Cyber Command (CGCYBER), ont publié jeudi un rapport commun mettant en garde contre les tentatives continues de la part de hackers qui exploitent la faille Log4Shell dans les serveurs VMware Horizon pour pénétrer dans des réseaux d’entreprises.
« Depuis décembre 2021, de multiples groupes d’acteurs de la menace ont exploité Log4Shell sur des serveurs VMware Horizon et [Unified Access Gateway] non patchés et destinés au public« , ont déclaré les agences. « Dans le cadre de cette exploitation, les acteurs APT présumés ont implanté des logiciels malveillants de chargement sur les systèmes compromis avec des exécutables intégrés permettant un contrôle et une commande à distance.«
Dans un cas, les hackers auraient été en mesure de se déplacer à l’intérieur du réseau de la victime, d’obtenir l’accès à un réseau, et de collecter et exfiltrer des données sensibles des forces de l’ordre.
Log4Shell, connue sous le nom de CVE-2021-44228 (score CVSS : 10.0), est une vulnérabilité d’exécution de code à distance affectant la bibliothèque de journalisation Apache Log4j, utilisée par un large éventail de services, sites web, applications et autres produits destinés aux particuliers et aux entreprises.
Une exploitation réussie de la faille pourrait permettre à un attaquant d’envoyer une commande à un système affecté, permettant aux acteurs d’exécuter du code malveillant et de prendre le contrôle de la cible.
Sur la base des informations recueillies dans le cadre de deux interventions sur incident, les agences ont déclaré que les attaquants ont utilisé l’exploit pour déposer des Payloads malveillants, notamment des scripts PowerShell et un outil d’accès à distance baptisé « hmsvc.exe », qui permet d’enregistrer les frappes au clavier et de déployer d’autres logiciels malveillants.
« Le malware peut fonctionner comme un proxy de tunneling C2, permettant à un opérateur distant de pivoter vers d’autres systèmes et de pénétrer plus avant dans un réseau« , notent les agences, ajoutant qu’il offre également un « accès à une interface utilisateur graphique (GUI) sur le bureau d’un système Windows cible« .
Les scripts PowerShell, observés dans l’environnement de production d’une deuxième organisation, ont facilité le mouvement latéral, permettant aux acteurs de l’APT d’implanter un malware de chargement contenant des exécutables qui incluent la capacité de surveiller à distance le bureau d’un système, d’obtenir un accès shell inverse, d’exfiltrer des données, et de télécharger et d’exécuter des binaires de stade suivant.
De plus, le collectif a exploité CVE-2022-22954, une vulnérabilité d’exécution de code à distance dans VMware Workspace ONE Access and Identity Manager qui a été révélée en avril 2022 dans le shell Web Dingo J-spy.
L’activité continue liée à Log4Shell, même après plus de six mois, suggère que la faille est d’un grand intérêt pour les attaquants, y compris les acteurs des menaces persistantes avancées (APT) parrainés par l’État, qui ont ciblé de manière opportuniste les serveurs non corrigés pour prendre pied dans un premier temps et poursuivre leurs activités.
Selon la société de cybersécurité ExtraHop, les vulnérabilités de Log4shell ont fait l’objet de tentatives d’analyse incessantes, les secteurs de la finance et de la santé apparaissant comme un marché hors norme pour les attaques potentielles.
« Log4j est là pour rester, nous verrons les attaquants l’exploiter encore et encore« , a déclaré Randori de IBM, dans un rapport daté d’avril 2022. « Log4j s’est enfoui profondément dans des couches et des couches de code tiers partagé, ce qui nous amène à la conclusion que nous verrons des cas d’exploitation de la vulnérabilité Log4j dans les services utilisés par les organisations qui utilisent beaucoup d’open source.«