TOOLinux

Le journal du Libre

Log4j va rester une préoccupation majeure en 2022 selon cet expert

lundi 24 janvier 2022

La semaine dernière, de grandes entreprises technologiques américaines ont participé à la Maison-Blanche à une réunion sur le niveau de sécurité des logiciels open source, quelques semaines après la divulgation de la vulnérabilité critique dans Log4j. La faille va rester un important sujet de cybersécurité en 2022, estime Laurent Rousseau, Senior Ingénieur Système Avant-vente chez Infoblox.

Les grandes tendances de la cybersécurité en 2022 sont connues et Log4j reste en haut de l’affiche.
L’éditeur confirme que ses équipes ont pu observer le lancement de nouvelles campagnes d’attaque très peu de temps après la divulgation de la vulnérabilité critique Log4j, dont nous vous parlions dans notre édition du 15 décembre dernier.

"Souvent, ces attaquants utilisent des outils de test de vulnérabilité pour localiser leurs victimes, et transmettent des logiciels malveillants lorsqu’une victime se connecte à un domaine ou à une adresse IP qu’ils contrôlent", nous explique Laurent Rousseau.

"Nous avons observé que des requêtes DNS invalides sont souvent déclenchées au cours du processus", poursuit-il. "Ces requêtes DNS contiennent non seulement des caractères spéciaux nécessaires pour exploiter le système distant mais également, souvent, le nom de domaine ou l’adresse IP de l’infrastructure utilisée par l’attaquant. Les requêtes DNS effectuées dans le cadre des tests de vulnérabilité menés par le cyber attaquant peuvent contenir des informations sur le réseau analysé ainsi que sur l’outil utilisé pour ces tests".

Quel danger ? Bien que ces requêtes DNS ne résolvent pas et ne créent pas de tunnel de communication avec l’infrastructure de l’attaquant, elles peuvent indiquer une attaque en cours. "En particulier, les requêtes DNS qui contiennent la sous-chaîne « $jndi » sont corrélées avec l’exploitation de la vulnérabilité", explique l’expert. "Dans les jours qui ont suivi le 9 décembre, nous avons vu de nombreuses variantes, dont beaucoup tentent de dissimuler le terme « indi » dans l’attaque. En examinant les journaux de ces requêtes DNS, nous avons découvert l’analyse des vulnérabilités, les tentatives d’exploit et les compromissions réussies".

Parmi les préconisations de détection et remédiation émises par Infoblox, on trouve la nécessité de vérifier les journaux de requêtes DNS et d’y identifier en particulier si des requêtes contiennent la chaine de caractère « $ » : "cette chaîne peut se trouver n’importe où dans le nom de la requête et peut être incomplète, mais, dans de nombreux cas, elle contiendra des éléments de l’infrastructure de l’attaquant", conclut Laurent Rousseau.