Sophos enregistre les analyses des vulnérabilités Log4j dans le monde entier et les pays d'où proviennent de nombreux exploits : la Chine et la Russie. Les résultats montrent deux cartes thermiques. Sean Gallagher, chercheur principal sur les menaces chez Sophos
« Sophos continue de surveiller les analyses des vulnérabilités Log4j. Dans le passé, nous avons vu de grands pics puis de fortes baisses dans ces analyses et tentatives d'exploitation. Dans le cas de Log4j, nous n'avons pas constaté de baisse, mais plutôt des scans quotidiens et des tentatives d'accès à partir d'une infrastructure mondialement distribuée. Nous nous attendons à ce que ce niveau d'activité élevé se poursuive car la vulnérabilité est multiforme et nécessite des correctifs importants.
Comme déjà indiqué, dans certains cas, une demande provient d'une adresse IP dans une région géographique, avec des URL intégrées pour Log4j se connectant à des serveurs ailleurs - parfois à plusieurs serveurs différents. Et bien que certaines de ces demandes soient des tests ou des « recherches » inoffensifs effectués par des testeurs d'intrusion et d'autres chercheurs en sécurité, une plus grande proportion sont malveillantes. »
« Par exemple, la télémétrie Sophos montre que 59 % des tentatives d'exploitation visent à connecter Log4j à des adresses Internet en Inde. Plus de 40 % des tentatives d'exploitation tentent de connecter Log4j à des adresses Internet aux États-Unis. » Les tentatives d'analyse en Allemagne représentent environ 11 % des cas enregistrés par les SophosLabs dans le monde, mais incluent également les activités des sociétés de sécurité.
"Cependant, les tentatives d'exploitation elles-mêmes proviennent principalement de Chine et de Russie, la plupart de ces tentatives étant sans doute liées à la cybercriminalité. Un serveur en Russie connecté au botnet d'extraction de cryptomonnaies Kinsing est responsable de plus de 10 % des tentatives d'exploitation observées par Sophos, soit plus de 33 % de tout le trafic provenant de Russie. En ce qui concerne les exploits, l'Allemagne est à 2 %.
Sophos publie également l'article détaillé « Logjam : Log4j exploit tentatives continue dans des analyses distribuées à l’échelle mondiale, des attaques ». Il décrit la nouvelle activité d'analyse et d'exploitation Log4j présentée ci-dessus et fournit les cartes thermiques « Emplacement des URL d'exploit C2 » et « IP de source de tentative d'exploitation ».
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.