Alerte - Des auteurs de MPA continuent d’exploiter Log4Shell dans les produits VMware

Numéro : AL22-010
Date : 24 juin 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 23 juin 2022, la Cybersecurity and Infrastructure Security Agency (CISA) et la Coast Guard Cyber Command (CGCYBER) des États-Unis ont publié un bulletin de cybersécurité conjoint (CSA pour Cybersecurity Advisory) ^{Note de bas de page 1}. Ce bulletin sert à aviser les responsables de la défense réseau que des auteurs de menaces persistantes avancées (MPA) continuent d’exploiter la vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. CVE-2021-44228 (Log4Shell) sur les serveurs VMware Horizon et Unified Access Gateway (UAG) non corrigés.

Ce CSA contient les tactiques, techniques et procédures (TTP), ainsi que les indicateurs de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. (IC) des activités soupçonnées liées à la MPA. Les responsables de la défense réseau peuvent tirer parti de ces ressources afin de déterminer si des activités malveillantes se sont produites et de fournir des recommandations pour l’intervention en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. .

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations ayant des systèmes VMware Horizon et UAG vulnérables de :

• passer en revue le bulletin conjoint sur l’atténuation de Log4Shell qui a été publié initialement en décembre 2021, et suivre les conseils et les avis qui y sont inclus ^{Note de bas de page 2};
• passer en revue la récente alerte de la CISA et de la CGCYBER pour obtenir de l’information additionnelle ^{Note de bas de page 1};
• d’appliquer la mise à jour la plus récente à tous les systèmes touchés;
• utiliser les TTP et les IC pour examiner ou corriger les systèmes touchés et associés.

Comme il n’a pas vérifié les détails techniques mentionnés dans la divulgation en question, le Centre pour la cybersécurité fournit la présente information telle quelle à des fins de sensibilisation et de prise de mesures potentielles. Avant de mettre en œuvre l’une des recommandations susmentionnées, il conviendra pour les organisations de vérifier l’incidence possible sur ses services et ses environnements en réseau.

S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).