Un an après l'application de correctifs, et malgré l'attention dont elle a bénéficié, la vulnérabilité critique Log4Shell, qui a touché des millions d'applications d'entreprise, demeure une cause fréquente de failles de sécurité, et elle devrait rester une cible privilégiée pendant un certain temps encore. Son impact durable souligne les risques majeurs posés par les failles dans les dépendances logicielles transitives et la nécessité pour les entreprises d'adopter de toute urgence des pratiques d'analyse de la composition des logiciels et de gestion sécurisée de la chaîne d'approvisionnement. Officiellement référencée sous l’appellation CVE-2021-44228, Log4Shell a été découverte en décembre 2021 dans Log4j, une bibliothèque Java open-source très répandue et utilisée pour la journalisation. Si les développeurs du projet ont rapidement créé un correctif pour cette faille divulguée à l’origine comme une faille zero day, l'adoption et le déploiement de ce correctif à grande échelle se sont avérés difficiles, car ils dépendent des codeurs qui ont utilisé ce composant dans leur logiciel pour publier leurs propres mises à jour. Le problème a été compliqué par la nature transitive de la vulnérabilité, car les projets logiciels qui incorporaient Log4j comprenaient de nombreux autres composants ou frameworks de développement tiers qui étaient eux-mêmes utilisés comme dépendances pour d'autres applications. Il n'était même pas nécessaire d'utiliser la bibliothèque Log4j elle-même pour être affecté, car la classe Java vulnérable appelée JndiManager incluse dans Log4j-core a été empruntée par 783 autres projets et se trouve désormais dans plus de 19 000 composants logiciels.

L'exploitation de Log4j « restera un défi »

« Les tentatives d'exploitation de Log4j resteront un défi pour les entreprises en 2023 et au-delà », ont déclaré les chercheurs du groupe Talos de Cisco dans leur rapport de fin d'année. « L'omniprésence de Log4j dans les environnements des entreprises complique l’application des correctifs. Parce que la bibliothèque est aussi largement utilisée, Log4j peut être profondément intégré dans de grands systèmes et il est difficile d’établir un inventaire complet de l'endroit où peuvent se trouver toutes les vulnérabilités logicielles dans un environnement particulier ». Selon les données de Tenable, spécialiste de l'analyse des vulnérabilités, au 1er octobre 2022, 72 % des entreprises possédaient encore des actifs vulnérables à Log4Shell. Si l’amélioration atteint 14 points par rapport au mois de mai 2022, ce pourcentage reste encore très élevé. Le nombre moyen d'actifs vulnérables par entreprise est passé de 10 % en décembre 2021 à 2,5 % en octobre, mais Tenable a observé qu'un actif sur trois présentait une récurrence de Log4Shell après une première réparation. « Nos données montrent que les entreprises disposant de programmes open-source matures ont largement remédié à la situation, mais, un an plus tard, d'autres sont toujours en difficulté », a expliqué Brian Fox, CTO de l’entreprise de gestion de la chaîne logistique logicielle Sonatype. « Le nombre de téléchargements de Log4j vulnérables chaque jour se compte en centaines de milliers, ce qui, à mon avis, montre qu'il ne s'agit pas d'un problème de mainteneurs de logiciels libres, mais d'un problème de consommateurs de logiciels libres. C'est la preuve que les entreprises ne savent tout simplement pas ce que contient leur chaîne d'approvisionnement logicielle », a ajouté le directeur de la technologie. Sonatype maintient et gère le Maven Central Repository, le référentiel de composants Java le plus important et le plus utilisé. L'entreprise est donc en mesure de suivre le nombre de téléchargements de n'importe quel composant, dont Log4,j et maintient une page avec des statistiques et des ressources pour Log4Shell. Depuis le 10 décembre, un téléchargement de Log4j sur trois concerne des versions vulnérables.

Des tentatives d'exploitation de Log4Shell toujours importantes

Après la divulgation publique de la faille fin 2021, la télémétrie du système de détection d'intrusion réseau open-source Snort a révélé un pic du nombre de détections de tentatives d'exploitation de Log4Shell, avec près de 70 millions de tentatives en janvier 2022. Le volume des nouvelles détections a diminué jusqu'en avril, mais il est resté relativement constant depuis lors, à environ 50 millions par mois. Ce volume montre que les attaquants recherchent toujours cette vulnérabilité dans les systèmes. Depuis la fin du mois de janvier, Arctic Wolf, une entreprise de cybersécurité spécialisée dans la détection et la réponse aux menaces, a constaté 63 313 incidents uniques de tentative d'exploitation contre 1 025 entreprises représentant environ un quart de sa clientèle. Dans près de 11 % des interventions d'Arctic Wolf auprès d’entreprises qui ne faisaient pas partie de ses clients, Log4Shell était la cause de l'intrusion. Cette proportion n'est dépassée que par la vulnérabilité ProxyShell (CVE-2021-34473) dans Microsoft Exchange. Selon les données de l'équipe de réponse aux incidents Talos de Cisco, au cours du premier semestre de l'année, l'exploitation des vulnérabilités dans les applications accessibles au public, dont Log4Shell, est arrivée ex æquo avec le phishing au premier rang des vecteurs d'infection. Au troisième trimestre, l'exploitation d'applications était le troisième vecteur d'infection le plus courant et comprenait le ciblage des serveurs VMware Horizon vulnérables à Log4Shell.

Parmi les attaquants qui exploitent Log4Shell, on trouve aussi bien des cybercriminels déployant des mineurs de crypto-monnaies et des ransomwares que des groupes de cyberespions parrainés par des États. Environ 60 % des cas de réponse aux incidents étudiés par Arctic Wolf cette année ont été attribués à trois groupes de ransomware : LockBit, Conti et BlackCat (Alphv). L’entreprise de cybersécurité estime à plus de 90 000 dollars le coût moyen d'un tel incident. Selon Cisco Talos, le groupe de ransomware Conti, aujourd'hui disparu, a commencé à exploiter Log4Shell peu après sa divulgation en décembre 2021. Cependant, l'exploitation de cette faille par des groupes de ransomware s'est poursuivie tout au long de l'année. Les gangs de minage de crypto-monnaies ont été encore plus rapides à adopter Log4Shell que les groupes de ransomware. Ils sont responsables d'une grande partie des premières activités d'analyse et d'exploitation associées à cette faille. Néanmoins, tout au long de l'année, Cisco Talos a constaté que Log4Shell était également utilisé dans des opérations de cyberespionnage par des groupes APT, notamment le groupe Lazarus de Corée du Nord, les acteurs de la menace associés au Corps des gardiens de la révolution islamique d'Iran et les groupes Deep Panda et APT41 liés à la Chine. « Log4j reste un vecteur d'infection très viable à exploiter pour les acteurs de la menace, et nous pensons qu’ils vont essayer d’abuser les systèmes vulnérables aussi longtemps que possible », ont déclaré les chercheurs de Cisco Talos. « Même si ces acteurs savent s’adapter, ils ne chercheront pas à dépenser plus de ressources pour développer de nouvelles méthodes s'ils peuvent continuer à exploiter avec succès les vulnérabilités connues ».