La GROSSE faille JAVA/J2EE LOG4J

https://www.lemonde.fr/pixels/article/2021/12/13/log4shell-la-faille-de-securite-qui-seme-la-panique-sur-internet_6105907_4408996.html
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
https://www.lesnumeriques.com/pro/log4shell-la-faille-zero-day-qui-seme-la-panique-sur-l-internet-mondial-n172829.html

Une bibliothèque utilisée par le langage de programmation Java, baptisée « Log4j », peut être détournée pour faire fonctionner du code non autorisé sur un serveur. De nombreuses entreprises ou administrations sont potentiellement concernées.

Jen Easterly, la directrice de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, a indiqué lundi 13 décembre que la vulnérabilité était "l'une des plus graves [qu'elle ait] vues dans toute sa carrière, si ce n'est la plus grave". Elle a ajouté que la CISA s'attendait à ce que la faille soit "largement exploitée" par des acteurs malveillants et que des "centaines de millions" d'appareils pourraient être affectés.

https://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Mais lol

les russes qui se chauffent pour la fin d'année

J'ai un pote qui code toute son entreprise était paralysé à cause de ça

Le 16 décembre 2021 à 10:58:13 :
les russes qui se chauffent pour la fin d'année

pour le coup c'est un chinois qui l'a trouvée.

Le 24 novembre, un expert chinois au sein de l’entreprise Alibaba, géant de la distribution en Chine, a signalé à l’Apache Software Foundation (la fondation qui distribue Log4j) une vulnérabilité logicielle dans plusieurs versions de son outil. Il a découvert qu’il était possible d’utiliser cette bibliothèque pour faire exécuter du code non autorisé sur un serveur utilisant Log4j.

https://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Log4j ca me dit quelque chose

La faille qui existe depuis le début d'internet non ?

T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

L'odeur des dev java

node.js > all

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez noushttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Le 16 décembre 2021 à 11:05:01 :

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez noushttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Hahaha vous êtes bien
En plus c'est les versions récente qui sont touchés ahii

Les version 1.X ne sont pas vulnérables

En plus la faille est eclatax n'importe quel pecore peut l'exploité et ouvrir un shell depuis Internet

YRR c'est réglable facilement stop faire peur. Tu peux disposax en despi'enthttps://image.noelshack.com/fichiers/2021/48/7/1638744486-chat-capuchent.png

Le 16 décembre 2021 à 11:10:59 :
YRR c'est réglable facilement stop faire peur. Tu peux disposax en despi'enthttps://image.noelshack.com/fichiers/2021/48/7/1638744486-chat-capuchent.png

Mdr si t'as 2 serveurs ouais, si t'en as 2000 c'est pas la même en plus t'as pas que la partie librairie OS, plein d'apps sont vulnérables et ne sont détectés par les scan que depuis avant hier.

En plus tu peux upgrade en 2.16 mais elle aussi une vuln dos mdr.

Rien que faire l'inventaire des serveurs avec la faille c'est chaud déjà

vous comprendrez pourquoi c'est si facile à exploiter ....

this project attempts to fix the vulnerability by using the bug against itself
https://github.com/Cybereason/Logout4Shell

[11:05:01] <salem453>

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez noushttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

T'a aucun serveur web ? Aucun tomcat ?

Le 16 décembre 2021 à 11:19:12 :

[11:05:01] <salem453>

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez noushttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

T'a aucun serveur web ? Aucun tomcat ?

On utilise uniquement Apache en reverse proxy et toutes nos applis web sont en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Aucun jre installé sur les 238 serveurs dédiés DEBIAN du parchttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Le 16 décembre 2021 à 11:19:12 :

[11:05:01] <salem453>

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez noushttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

T'a aucun serveur web ? Aucun tomcat ?

J'avoue un petit elastic search, un petit fw fortinet, des petits vmware, vcenter ?

Le 16 décembre 2021 à 11:22:43 :

Le 16 décembre 2021 à 11:19:12 :

[11:05:01] <salem453>

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez noushttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

T'a aucun serveur web ? Aucun tomcat ?

On utilise uniquement Apache en reverse proxy et toutes nos applis web sont en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Aucun jre installé sur les 238 serveurs dédiés DEBIAN du parchttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Ha ok , le reverse proxy te protégera pas à 100% car tu peux faire du reverse shell directement dans la requête http, du coup si l'appli la lit et qu'elle est vulnérable tu l'as.

Après avoir secure la partie externe c'est la base, mais l'interne ça compte aussi.

Vous avez aucun Vcenter ? Quel marque de FW ?

Le 16 décembre 2021 à 11:26:31 :

Le 16 décembre 2021 à 11:22:43 :

Le 16 décembre 2021 à 11:19:12 :

[11:05:01] <salem453>

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez noushttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

T'a aucun serveur web ? Aucun tomcat ?

On utilise uniquement Apache en reverse proxy et toutes nos applis web sont en Chttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Aucun jre installé sur les 238 serveurs dédiés DEBIAN du parchttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Ha ok , le reverse proxy te protégera pas à 100% car tu peux faire du reverse shell directement dans la requête http, du coup si l'appli la lit et qu'elle est vulnérable tu l'as.

Après avoir secure la partie externe c'est la base, mais l'interne ça compte aussi.

Vous avez aucun Vcenter ? Quel marque de FW ?

Oui mais on a aucune appli en Java derrière. Pour les VM on a un cluster Proxmox (donc kvm) avec environ 30 Nodes ( sur 3 datacenters différents). Pour les FW faudrait que je vois avec l'équipe réseau mais de mémoire ils utilisent que du Ciscohttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Le 16 décembre 2021 à 11:34:06 :

Le 16 décembre 2021 à 11:26:31 :

Le 16 décembre 2021 à 11:22:43 :

Le 16 décembre 2021 à 11:19:12 :

[11:05:01] <salem453>

Le 16 décembre 2021 à 11:02:44 :
T'es en retard, c'est la plus grosse faille de l'histoire j'ai eu vla le taff.

Alerte
Blocage
Remédiation
Gouvernance

:/

On utilise pas Java chez nous https://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png
On fait tout en C https://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

T'a aucun serveur web ? Aucun tomcat ?

On utilise uniquement Apache en reverse proxy et toutes nos applis web sont en C https://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Aucun jre installé sur les 238 serveurs dédiés DEBIAN du parc https://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Ha ok , le reverse proxy te protégera pas à 100% car tu peux faire du reverse shell directement dans la requête http, du coup si l'appli la lit et qu'elle est vulnérable tu l'as.

Après avoir secure la partie externe c'est la base, mais l'interne ça compte aussi.

Vous avez aucun Vcenter ? Quel marque de FW ?

Oui mais on a aucune appli en Java derrière. Pour les VM on a un cluster Proxmox (donc kvm) avec environ 30 Nodes ( sur 3 datacenters différents). Pour les FW faudrait que je vois avec l'équipe réseau mais de mémoire ils utilisent que du Cisco https://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png

Ok ça a l'air carré, certaines apps Cisco sont vulnérables.

https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Ici tu as la liste des applications vulnérables c'est intéressant à regarder

Je viens de demander à un ingé reseau, aucune application Cisco n'est utilisée, car c'est trop cher selon le Bosshttps://image.noelshack.com/fichiers/2018/27/4/1530827992-jesusreup.png