Vulnérabilité Log4j : vérifiez vos journaux de requêtes DNS !

0

La semaine dernière, les géants technologiques américains se sont réunis à la Maison-Blanche pour discuter du niveau de sécurité offert par les logiciels open source. Ce sommet est organisé suite à la divulgation de la vulnérabilité critique dans Log4j – qui a inquiété et occupé les équipes de sécurité juste avant des fêtes de fin d’année.

Tribune – En raison de sa criticité, la faille de Log4j va rester un important sujet de cybersécurité en 2022.

Dans ce contexte, veuillez trouver ci-dessous l’analyse de Laurent Rousseau, Senior Ingénieur Système Avant-vente chez Infoblox :

Infoblox a pu observer le lancement de nouvelles campagnes d’attaque très peu de temps après la divulgation de la vulnérabilité critique Log4j (CVE-2021-44228), véritable aubaine pour les cyber attaquants qui se sont empressés de lancer ces campagnes.

Souvent, ces attaquants utilisent des outils de test de vulnérabilité pour localiser leurs victimes, et transmettent des logiciels malveillants lorsqu’une victime se connecte à un domaine ou à une adresse IP qu’ils contrôlent. Le type de malware varie considérablement. Nous avons observé que des requêtes DNS invalides sont souvent déclenchées au cours du processus. Ces requêtes DNS contiennent non seulement des caractères spéciaux nécessaires pour exploiter le système distant mais également, souvent, le nom de domaine ou l’adresse IP de l’infrastructure utilisée par l’attaquant. Les requêtes DNS effectuées dans le cadre des tests de vulnérabilité menés par le cyber attaquant peuvent contenir des informations sur le réseau analysé ainsi que sur l’outil utilisé pour ces tests. Bien que ces requêtes DNS ne résolvent pas et ne créent pas de tunnel de communication avec l’infrastructure de l’attaquant, elles peuvent indiquer une attaque en cours. En particulier, les requêtes DNS qui contiennent la sous-chaîne « ${jndi » sont corrélées avec l’exploitation de la vulnérabilité. Dans les jours qui ont suivi le 9 décembre, nous avons vu de nombreuses variantes, dont beaucoup tentent de dissimuler le terme « indi » dans l’attaque. En examinant les journaux de ces requêtes DNS, nous avons découvert l’analyse des vulnérabilités, les tentatives d’exploit et les compromissions réussies.

Parmi les préconisations de détection et remédiation émises par Infoblox, nous recommandons donc aux entreprises de vérifier leurs journaux de requêtes DNS et d’y identifier en particulier si des requêtes contiennent la chaine de caractère « ${». Cette chaîne peut se trouver n’importe où dans le nom de la requête et peut être incomplète, mais, dans de nombreux cas, elle contiendra des éléments de l’infrastructure de l’attaquant.

Pour plus d’informations sur l’analyse et les préconisations d’Infoblox, veuillez-vous référer au bulletin d’alerte publié ici : https://blogs.infoblox.com/cyber-threat-intelligence/cyber-campaign-briefs/log4j-exploit-harvesting/

Pour plus d’informations sur la liste d’indicateurs IOC liés à l’activité d’exploitation de Log4j, déjà détectés et devant être bloqués, veuillez-vous référer au résumé de la campagne cyber publié ici : https://blogs.infoblox.com/cyber-threat-intelligence/cyber-campaign-briefs/log4j-indicators-of-compromise-to-date/

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.