La faille Log4Shell utilisée pour déployer un ransomware

Le premier cas public de la vulnérabilité Log4Shell de Log4j utilisée pour télécharger et installer un ransomware a été découvert par les chercheurs en sécurité de Bitdefender. Il fallait s'y attendre.

Log4Shell, la faille critique qui se trouve dans la bibliothèque Log4j touche énormément de produits et services, et comme elle peut être exploitée à distance sans authentification, c'est une aubaine pour les pirates informatiques. Certains comptent bien l'utiliser comme point d'entrée pour déployer un ransomware sur le serveur de la victime. Si vous utilisez des produits qui s'appuient sur Log4j, vous devez réaliser la mise à jour dès que possible d'autant plus si le service est exposé sur Internet.

Les chercheurs en sécurité de Bitdefender ont découvert un premier cas avec un nouveau ransomware nommé "Khonsari". En exploitant la faille Log4Shell, une classe Java est téléchargée à partir de "hxxp://3.145.115[.]94/Main.class" et exécutée par l'application Log4j. Ensuite, un binaire .NET est téléchargé sur le serveur afin d'installer le ransomware Khonsari. Pour les extensions de fichiers chiffrés, c'est le même nom qui est utilisé et un fichier "How to get your files back.txt" est déposé sur le serveur avec quelques informations. Ce qui est surprenant, c'est qu'il n'y a pas d'information sur l'attaquant ni la quelconque information quant au montant de la rançon à payer. Le ransomware Khonsari se veut avant tout destructeur.

La méthode de chiffrement employée par Khonsari serait valide et par conséquent il n'est pas possible de déchiffrer les données gratuitement (à moins qu'un outil de déchiffrement gratuit sous publié par la suite...). S'il n'est pas possible de payer la rançon, les choses s'annoncent compliquées.

Cette première attaque qui exploite la faille Log4Shell afin de déployer un ransomware ne sera surement pas la dernière : affaire à suivre. Pensez à vérifier si les produits que vous utilisez s'appuient ou non sur Log4j afin de ne pas être surpris.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3500 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.