My two cents concernant le "énormément" : le NCSC (équiv. ANSSI aux Pays-Bas) a mis en ligne un dépôt GitHub avec des indicateurs de compromission, ainsi qu'une liste des produits impactés/non impactés :

https://github.com/NCSC-NL/log4shell/tree/main/software

Sur 1600 entrées, environ 200 sont marquées comme vulnérables. Vous noterez que beaucoup de services cloud, chez AWS notamment, étaient vulnérables, mais ont été patchés depuis. Ce qui explique l'ampleur potentiel de l'impact, et pourquoi tout le monde s'est bougé ce week end pour évaluer ses produits et patcher si nécessaire.

--
Florian STOSSE | Ingénieur en sécurité informatique


Le mar. 14 déc. 2021 à 10:17, Julien Escario <julien.escario@altinea.fr> a écrit :
Le 14/12/2021 à 09:53, David Durieux a écrit :
> Bonjour,
>
> Ton retour est complètement biaisé
>
> "j'ai été très surpris de la faible surface d'attaque "
> "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
>
> c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas
> d'être très touché.
>
> C'est comme si tu disais que tu évite les serveurs Microsoft mais que
> tu sois surpris de la faible surface d'attaque sur le RDP \o/

OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que
l'avis des autres ne t’intéresse pas.

Évidemment que mon retour est biaisé, lequel ne l'est pas ?

Pourquoi ai-je précisé que nous avions peu de choses basées sur Java et
que j'ai ensuite listé les applications que j'ai repérées/testées ? Ca
permet de mettre ce que l'on appelle communément du contexte et de juger
de la profondeur du biais justement.

> Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a
> énormément).

Et tu as une source pour ton affirmation ? Énormément, c'est quoi ?
Combien utilisent log4j ?

Du coup, si tu veux faire un commentaire utile, entre les boites de
sécurité qui annoncent ça comme la faille de la décennie et mon vécu
avec très peu d'impact, tu as un retour factuel à faire ?

> Ce message est juste pour éviter de minimiser ce problème de log4j.

Le problème est évidemment sérieux puisque exploitable publiquement sur
des services généralement exposés. Mais encore une fois, je me demande
si la surface d'attaque est aussi importante qu'annoncé.

Par contre, lorsque la faille est présente, le service est très facile à
violer. Le CVSS3 tiens compte de ces deux aspects.

> Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis
> le 10 décembre.

Oui, même chose. De même, j'ai plusieurs milliers de tentatives de brute
force SSH chaque minute sur les serveurs pour lesquels ce n'est pas
firewallé. Ce n'est pas pour autant que je fais ma drama-queen sécuritaire.

Julien



_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/