{"id":219823,"date":"2022-06-24T02:30:19","date_gmt":"2022-06-24T04:30:19","guid":{"rendered":"https:\/\/teknomers.com\/fr\/log4shell-est-toujours-exploite-pour-pirater-des-serveurs-vmware-afin-dexfiltrer-des-donnees-sensibles\/"},"modified":"2022-06-24T02:30:20","modified_gmt":"2022-06-24T04:30:20","slug":"log4shell-est-toujours-exploite-pour-pirater-des-serveurs-vmware-afin-dexfiltrer-des-donnees-sensibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/log4shell-est-toujours-exploite-pour-pirater-des-serveurs-vmware-afin-dexfiltrer-des-donnees-sensibles\/","title":{"rendered":"Log4Shell est toujours exploit\u00e9 pour pirater des serveurs VMWare afin d&#8217;exfiltrer des donn\u00e9es sensibles"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA), ainsi que le Coast Guard Cyber \u200b\u200b\u200b\u200bCommand (CGCYBER), ont publi\u00e9 jeudi un avertissement conjoint sur les tentatives continues de la part des acteurs de la menace d&#8217;exploiter la faille Log4Shell dans les serveurs VMware Horizon pour atteindre la cible. r\u00e9seaux.<\/p>\n<p>&#8220;Depuis d\u00e9cembre 2021, plusieurs groupes d&#8217;acteurs malveillants ont exploit\u00e9 Log4Shell sur VMware Horizon non corrig\u00e9 et accessible au public et [Unified Access Gateway] serveurs \u00bb, les agences <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/current-activity\/2022\/06\/23\/malicious-cyber-actors-continue-exploit-log4shell-vmware-horizon\" target=\"_blank\">a dit<\/a>.  &#8220;Dans le cadre de cette exploitation, des acteurs pr\u00e9sum\u00e9s d&#8217;APT ont implant\u00e9 des logiciels malveillants de chargeur sur des syst\u00e8mes compromis avec des ex\u00e9cutables int\u00e9gr\u00e9s permettant la commande et le contr\u00f4le \u00e0 distance (C2).&#8221;<\/p>\n<p>Dans un cas, l&#8217;adversaire aurait pu se d\u00e9placer lat\u00e9ralement \u00e0 l&#8217;int\u00e9rieur du r\u00e9seau de la victime, obtenir l&#8217;acc\u00e8s \u00e0 un r\u00e9seau de reprise apr\u00e8s sinistre et collecter et exfiltrer des donn\u00e9es sensibles des forces de l&#8217;ordre.<\/p>\n<p>Log4Shell, suivi comme CVE-2021-44228 (score CVSS\u00a0: 10,0), est une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance affectant la biblioth\u00e8que de journalisation Apache Log4j qui est utilis\u00e9e par un large \u00e9ventail de services grand public et d&#8217;entreprise, de sites Web, d&#8217;applications et d&#8217;autres produits.<\/p>\n<p>L&#8217;exploitation r\u00e9ussie de la faille pourrait permettre \u00e0 un attaquant d&#8217;envoyer une commande sp\u00e9cialement con\u00e7ue \u00e0 un syst\u00e8me affect\u00e9, permettant aux acteurs d&#8217;ex\u00e9cuter un code malveillant et de prendre le contr\u00f4le de la cible.<\/p>\n<p>Sur la base des informations recueillies dans le cadre de deux missions de r\u00e9ponse aux incidents, les agences ont d\u00e9clar\u00e9 que les attaquants avaient arm\u00e9 l&#8217;exploit pour supprimer des charges utiles malveillantes, y compris des scripts PowerShell et un outil d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 &#8220;hmsvc.exe&#8221; qui est \u00e9quip\u00e9 de capacit\u00e9s pour enregistrer les frappes au clavier et d\u00e9ployer d&#8217;autres logiciels malveillants.<\/p>\n<p>&#8220;Le logiciel malveillant peut fonctionner comme un proxy de tunnellisation C2, permettant \u00e0 un op\u00e9rateur distant de pivoter vers d&#8217;autres syst\u00e8mes et de se d\u00e9placer plus loin dans un r\u00e9seau&#8221;, ont not\u00e9 les agences, ajoutant qu&#8217;il offre \u00e9galement un &#8220;acc\u00e8s \u00e0 l&#8217;interface utilisateur graphique (GUI) sur un syst\u00e8me Windows cible. bureau.&#8221;<\/p>\n<p>Les scripts PowerShell, observ\u00e9s dans l&#8217;environnement de production d&#8217;une deuxi\u00e8me organisation, ont facilit\u00e9 le mouvement lat\u00e9ral, permettant aux acteurs APT d&#8217;implanter des logiciels malveillants de chargeur contenant des ex\u00e9cutables qui incluent la possibilit\u00e9 de surveiller \u00e0 distance le bureau d&#8217;un syst\u00e8me, d&#8217;obtenir un acc\u00e8s invers\u00e9 au shell, d&#8217;exfiltrer des donn\u00e9es et de t\u00e9l\u00e9charger et ex\u00e9cuter les binaires de la prochaine \u00e9tape.<\/p>\n<p>De plus, le collectif contradictoire a exploit\u00e9 CVE-2022-22954, une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance dans VMware Workspace ONE Access et Identity Manager qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e en avril 2022, pour implanter le shell Web Dingo J-spy.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;activit\u00e9 continue li\u00e9e \u00e0 Log4Shell, m\u00eame apr\u00e8s plus de six mois, sugg\u00e8re que la faille est d&#8217;un grand int\u00e9r\u00eat pour les attaquants, y compris les acteurs des menaces persistantes avanc\u00e9es (APT) parrain\u00e9s par l&#8217;\u00c9tat, qui ont cibl\u00e9 de mani\u00e8re opportuniste des serveurs non corrig\u00e9s pour prendre pied pour une activit\u00e9 de suivi. .<\/p>\n<p>Selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 ExtraHop, les vuln\u00e9rabilit\u00e9s de Log4j ont fait l&#8217;objet de tentatives d&#8217;analyse incessantes, les secteurs de la finance et de la sant\u00e9 devenant un march\u00e9 d\u00e9mesur\u00e9 pour les attaques potentielles.<\/p>\n<p>&#8220;Log4j est l\u00e0 pour rester, nous verrons des attaquants l&#8217;exploiter encore et encore&#8221;, a d\u00e9clar\u00e9 Randori, propri\u00e9t\u00e9 d&#8217;IBM. <a rel=\"nofollow noopener\" href=\"https:\/\/www.randori.com\/blog\/log4j-top-targets-report\/\" target=\"_blank\">a dit<\/a> dans un rapport d&#8217;avril 2022.  &#8220;Log4j enfoui profond\u00e9ment dans des couches et des couches de code tiers partag\u00e9, ce qui nous am\u00e8ne \u00e0 la conclusion que nous verrons des instances de la vuln\u00e9rabilit\u00e9 Log4j exploit\u00e9es dans des services utilis\u00e9s par des organisations qui utilisent beaucoup d&#8217;open source.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/log4shell-still-being-exploited-to-hack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA), ainsi que le Coast Guard Cyber \u200b\u200b\u200b\u200bCommand (CGCYBER), ont publi\u00e9 jeudi un avertissement conjoint sur les tentatives continues de la part des acteurs de la menace d&#8217;exploiter la faille Log4Shell dans les serveurs VMware Horizon pour atteindre la cible. r\u00e9seaux. &#8220;Depuis d\u00e9cembre 2021, plusieurs groupes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":219824,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11369,4168,4158,4165,4161,133,82019,1343,40,7727,4157,4159,4171,4170,41108,4167,4160,4163,4162,22524,185,4172,4169,24241,8541,220,4166,34910,4164],"class_list":["post-219823","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-afin","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-dexfiltrer","tag-donnees","tag-est","tag-exploite","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-log4shell","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirater","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sensibles","tag-serveurs","tag-toujours","tag-violation-de-donnees","tag-vmware","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/219823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=219823"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/219823\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/219824"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=219823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=219823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=219823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}