La CISA maintient l’alerte sur Log4Shell
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
![Image Chez les [opérateurs télécom], la cybersécurité est omniprésente](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-telecom-communication-center-2024-885x690.jpg)
La CISA appelle les organisations, notamment celles utilisant des serveurs VMware, à appliquer tous les correctifs à la faille Log4Shell, toujours largement exploitée.
Découverte en décembre 2021, la faille CVE-2021-44228 sur le composant Log4j, baptisée Log4Shell, est considérée comme l’une des plus graves de l’histoire, tant par son ampleur (le composant est largement utilisé dans les bibliothèques des serveurs de VMware, Cisco, IBM ou Oracle) que par la difficulté à la corriger (à cause de l’extrême variété des utilisateurs, fabricants et services touchés).
En cette fin juin 2022, la CISA et le United States Coast Guard Cyber Command (CGCYBER) ont demandé aux administrateurs des serveurs Horizon et UAG de VMware de corriger ceux, encore trop nombreux, qui utilisent toujours une version vulnérable de Log4j.
Ces deux produits de VMware sont en effet parmi les plus touchés par la faille : « depuis décembre 2021, de multiples groupes d’acteurs malveillants ont exploité Log4Shell sur des serveurs VMware Horizon et UAG non corrigés et orientés vers le public », exposent les deux agences.
« Dans le cadre de cette exploitation, des acteurs présumés de type APT ont implanté des logiciels malveillants sur les systèmes compromis avec des exécutables intégrés C2. Dans une compromission confirmée, ces acteurs APT ont pu se déplacer latéralement à l’intérieur du réseau, accéder à un réseau de reprise après sinistre, afin de collecter et exfiltrer des données sensibles », complètent-elles.
Plus globalement, « la CISA et le CGCYBER recommandent à toutes les organisations disposant de systèmes affectés qui n’ont pas immédiatement appliqué les correctifs ou les solutions de contournement disponibles, de supposer la compromission et de lancer des activités de chasse aux menaces », précise la CISA.