Si votre organisation exécute des serveurs VMware Horizon et Unified Access Gateway et que vous n’avez pas implémenté les correctifs ou les solutions de contournement pour corriger/atténuer la vulnérabilité Log4Shell (CVE-2021-44228) en décembre 2021, vous devez menacer tous ces systèmes en tant que compromise, a annoncé jeudi la Cybersecurity and Infrastructure Security Agency (CISA).
L’agence a accompagné l’avertissement d’informations techniques détaillées et d’indicateurs de compromis liés à deux missions distinctes de réponse aux incidents qu’elle et le United States Coast Guard Cyber Command (CGCYBER) ont menées au cours des derniers mois.
Les attaques
Depuis la révélation publique de son existence et les premières détections d’exploitation active en décembre 2021, les attaquants exploitent Log4Shell dans une variété de de nombreuses solutions informatiques vulnérables.
Selon la CISA, les acteurs des cybermenaces, y compris les acteurs des menaces persistantes avancées (APT) parrainés par l’État, ont continué à exploiter Log4Shell dans des serveurs VMware Horizon et Unified Access Gateway non corrigés et accessibles sur Internet pour obtenir un accès initial aux organisations.
« Dans le cadre de cette exploitation, des acteurs présumés d’APT ont implanté des logiciels malveillants de chargement sur des systèmes compromis avec des exécutables intégrés permettant la commande et le contrôle à distance (C2). Dans un compromis confirmé, ces acteurs APT ont pu se déplacer latéralement à l’intérieur du réseau, accéder à un réseau de reprise après sinistre et collecter et exfiltrer des données sensibles », a noté CISA, et a détaillé les deux engagements – dont l’un a fini par leur faire découvrir que l’organisation victime a été compromise par plusieurs groupes d’acteurs menaçants.
L’un de ces groupes a également exploité CVE-2022-22954, une vulnérabilité RCE dans VMware Workspace ONE Access et Identity Manager, pour implanter un webshell.
Suite aux deux compromissions, les attaquants ont exfiltré des données sensibles, certaines de l’un des environnements de production des victimes, et ont peut-être mis la main sur des données sensibles d’enquête des forces de l’ordre.
Que devez-vous faire ?
Comme mentionné précédemment, CISA conseille aux entreprises de supposer que tous leurs serveurs VMware Horizon et Unified Access Gateway non corrigés sont compromis et partent de là.
Avant de nettoyer les serveurs, l’agence conseille de collecter et d’examiner les journaux, les données et les artefacts pertinents et d’engager des intervenants en cas d’incident pour s’assurer que « l’acteur est éradiqué du réseau et éviter les problèmes résiduels qui pourraient permettre une exploitation ultérieure ».
Une fois cela fait, ils doivent appliquer les correctifs ou les solutions de contournement, vérifier qu’il ne reste aucune vulnérabilité (avec un script fourni par le fournisseur) et s’engager à publier plus rapidement les mises à jour et les correctifs pour toutes les solutions qu’ils utiliseront à l’avenir.
« Réduire la surface d’attaque face à Internet en hébergeant les services essentiels dans une zone démilitarisée séparée (DMZ), en garantissant des contrôles d’accès stricts au périmètre du réseau et en mettant en place des pare-feu d’application Web (WAF) régulièrement mis à jour devant les services publics », CISA a également conseils.
« Utilisez les meilleures pratiques de gestion des identités et des accès (IAM) en mettant en œuvre l’authentification multifacteur (MFA), en imposant l’utilisation de mots de passe forts et en limitant l’accès des utilisateurs grâce au principe du moindre privilège. »
C’est également une bonne idée de trouver d’autres instances de versions vulnérables de Log4j dans votre environnement et de commencer par des efforts de correction. Vous devriez particulièrement vérifier les solutions qui peuvent constituer de bonnes cibles pour l’exploitation de Log4Shell.
Log4Shell continuera probablement à hanter de nombreuses organisations pendant des années, mais la vôtre n’a pas à en faire partie.
