Vulnérabilité Log4Shell activement utilisée pour injecter des logiciels malveillants dans les serveurs VMWare Horizon
Les répliques du tremblement de terre provoquées dans le secteur de la sécurité informatique par la vulnérabilité Log4Shell ou Log4j découverte fin 2021 font encore des vagues. Les chercheurs en sécurité ont découvert des attaques en cours ciblant les serveurs VMWare Horizon et les infectant avec différents logiciels malveillants, abusant de la tristement célèbre vulnérabilité.
Log4j est le nom de l' outil de journalisation basé sur Java largement utilisé que la vulnérabilité affecte. Log4Shell est techniquement le nom de la vulnérabilité elle-même, mais les termes sont devenus interchangeables avec Log4j - le nom du logiciel affecté par la vulnérabilité.
Log4Shell, surnommé par les experts en sécurité la "vulnérabilité de la décennie", a reçu un score de gravité parfait de 10,0 lors de son catalogage.
Une nouvelle campagne propage les cryptomineurs et les portes dérobées
Une équipe de recherche de la société de sécurité Sophos surveille une nouvelle campagne d'attaque en cours exploitant la vulnérabilité. Les cibles des pirates exécutant la campagne d'attaque sont les serveurs VMWare Horizon qui exécutent toujours des logiciels non corrigés.
Les serveurs, une fois compromis, sont infectés par plusieurs types de portes dérobées, ainsi que par des logiciels malveillants de cryptominage.
Une fois que les systèmes ont été compromis à l'aide de Log4Shell, les pirates installent des outils d'accès et de visualisation à distance légitimes qui sont utilisés comme portes dérobées.
Il existe une poignée d'outils malveillants de cryptominage utilisés dans ces attaques, notamment JavaX, Jin, z0Miner et Mimu. Il existe des preuves partielles que la campagne en cours diffusant ces cryptomineurs pourrait être connectée à une campagne plus ancienne qui utilisait une vulnérabilité plus ancienne.
Parallèlement au déploiement du cryptomineur et de la porte dérobée sur les serveurs VMWare Horizon compromis, les chercheurs ont également remarqué cette campagne d'attaque déployant des outils de collecte de données. Les outils supplémentaires déployés dans les attaques tentent de supprimer les données de sauvegarde et système des appareils.
Log4Shell - l'exploit qui ne disparaîtrait pas
Les prédictions selon lesquelles Log4Shell affectera la sécurité informatique pendant très longtemps semblent se réaliser. Les attaquants n'ont même pas à faire d'efforts particuliers, car en raison du grand nombre de systèmes exécutant le logiciel sous-jacent utilisé dans les exploits, il y aura probablement des instances non corrigées dans les années à venir, tout comme les chercheurs l'ont prédit.