fresnel6 - Fotolia

Log4Shell : qui a une instance VMware Horizon compromise sans le savoir ?

Plusieurs dizaines de milliers d’instances VMware Horizon sont accessibles sur Internet. Des correctifs sont disponibles. Mais s’ils ont été appliqués, l’ont-ils été à temps ? Un nombre non négligeable d’instances pourraient être compromises.

L’alerte vient de Huntress et fait écho à celle, émise début janvier, par le service de santé britannique, le NHS : des cybermalfaiteurs visent activement la vulnérabilité Log4Shell sur les instances VMware Horizon accessibles directement sur Internet. Selon le moteur de recherche spécialisé Shodan, elles sont environ 25 000 à travers le monde. Ce chiffre peut paraître limité, mais compte tenu du profil des organisations exploitant cette solution, et de la taille des environnements correspondants, les effets d’une attaque réussie peuvent s’avérer désastreux.

Pour estimer l’ampleur de la menace, les équipes d’Huntress se sont penchées sur un échantillon de 180 instances Horizon exposées en ligne : 10 % d’entre elles avaient déjà été compromises avec un web shell, un outil déposé en exploitant la vulnérabilité et permettant d’interagir à distance avec le serveur. En outre, 24 % des instances ne s’étaient pas encore vues appliquer les correctifs disponibles.

Certaines instances compromises semblaient toutefois à jour de correctifs. En somme, ceux-ci avaient été appliqués sans vérifier qu’une compromission n’était pas survenue antérieurement. Et donc sans procéder au nettoyage nécessaire.

En outre, depuis la mi-janvier, l’exploitation de la vulnérabilité Log4Shell dans les instances VMware Horizon apparaît, au moins sporadiquement, utilisée pour implanter des balises Cobalt Strike. Ce dernier est un outil conçu initialement pour le test d’intrusion. Mais les cyberdélinquants l’utilisent largement dans le cadre de leurs attaques pour accéder à distance au système d’information de leurs victimes en devenir et s’y déplacer, jusqu’à réussir à en prendre le contrôle.

Dévoilée début décembre 2021, la vulnérabilité dite Log4Shell, référencée CVE-2021-44228, affecte l’omniprésente librairie de journalisation Java log4j et permet l’exécution de code à distance, contre les systèmes touchés.

Dès le 11 décembre, Microsoft alertait sur l’exploitation de la vulnérabilité Log4Shell pour l’installation de balises Cobalt Strike. Moins d’une semaine plus tard, AdvIntel indiquait que les cybermalfaiteurs liés à la franchise de ransomware Conti procédaient ainsi, contre les instances vCenter affectées.

Depuis le 4 janvier 2022, Microsoft indique que des attaquants exploitent Log4Shell contre des déploiements VMware Horizon accessibles directement sur Internet : « notre enquête montre que les intrusions réussies dans ces campagnes ont conduit au déploiement du ransomware Night Sky ».

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close