חופשה

קניות ברשת

גירסת הדפסה

קבוצות דיון סקופים נושא #724919	מנהל סגן המנהל מפקח עיתונאי מקוון צל"ש

אשכול מספר 724919

KobyBD

חבר מתאריך 28.9.10
7952 הודעות, 40 מדרגים, 76 נקודות. ראה משוב

יום ששי י''ג בטבת תשפ''ב 23:32 17.12.21

תיקון ששוחרר עבור פירצת אבטחה חמורה ב-log4j הכיל חולשות בעצמו שכבר מנוצלות באופן פעיל

ערכתי לאחרונה בתאריך 17.12.21 בשעה 23:41 בברכה, KobyBD

בהמשך לאשכול ויותר רקע על פירצת האבטחה:
https://rotter.net/forum/scoops1/724229.shtml

פירצת ה-Log4J שהטרידה מנהלי IT בשבוע האחרון ממשיכה לגרום לכאבי ראש כאשר נראה שלתיקון ששוחרר כדי לחסום את הפריצות יש ליקויי אבטחה משלו. חלק מהחברות שכבר עדכנו ל-Log4J 2.15.0 המשיכו לסבול מהתקפות של לפחות אחת משתי נקודות חולשה חדשות שנמצאו.
בשבוע שעבר, חוקרי אבטחה הודיעו למפתחים שהם גילו פירצה שנוצלה באופן פעיל במסגרת Apache Struts. החולשה התגלתה ב-Log4J. קרן Apache פרסמה תיקון עם גרסה 2.15.0 וחשפה את הפירצה באופן פומבי במהלך סוף השבוע.
במהלך 72 השעות שלאחר הוצאת העדכון, ניצול הפירצה זינק, כאשר חוקרים עקבו אחר עד 100 התקפות בדקה וכמעט מיליון תקריות בסך הכל.
חברות גדולות, כולל אפל, אמזון, סיסקו ואחרות, נאבקו כדי לתקן את הבעיה. כמעט באותה מהירות שהמערכות התקינו את Log4J 2.15.0, חברות האבטחה Praetorian ו-Cloudflare החלו לראות התקפות פעילות במערכות שבהם הותקן התיקון.
שתי החברות שומרות את הפרטים הטכניים של החולשות בסתר בזמן שעובדי התעשייה מעדכנים את המערכות שלהם. חברות האבטחה ממליצות לכל החברות לעדכן לגירסא 2.16.0 בהקדם האפשרי.
https://www.techspot.com/news/92661-log4j-patch-fix-serious-zero-day-has-own.html

תגובה עם ציטוט | תגובה מהירה (ניהול: למבזק)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

האשכול	מחבר	תאריך כתיבה	מספר
מכתב	Street	17.12.21 23:39	1
הסבר בבקשה על מה זה הדבר הזה ולמה הוא משמש?	Y to Y	17.12.21 23:45	2
מדובר בניצול של צורת העבודה	GagoJan	17.12.21 23:49	3
ומה הדרך הכי מהירה לתקן אותה ?	Street	17.12.21 23:52	4
או לכבות את השרת חח	KobyBD	17.12.21 23:55	6
תמיד עדיף לעבור לפייתון	Street	17.12.21 23:56	7
אם כבר אז פסקל, רוב ההאקרים הצעירים לא יודעים מה זה בכלל	KobyBD	18.12.21 00:02	8
אם זה קוד שלך אז דחוף תקרא את השרשור בקישור	GagoJan	18.12.21 00:08	9
לא.. זה היה בהומור (ראה כוכבית)	Street	18.12.21 00:12	10
עכשיו קלטתי :)))	GagoJan	18.12.21 00:14	11
מה שהוא אמר. כל מילה 👆	KobyBD	17.12.21 23:55	5
הוציאו כבר 2.17 כי ב.2.16 התגלתה עוד פגיעה לDOS	המקור	18.12.21 15:55	12
כמה כסף שעות נוספות עשיתי על זה בימים האחרונים...	אלכס מהכרמל	18.12.21 17:22	13
אתה כנראה פרילנסר כי בהייטק הישראלי שעות נוספות כלולות כחלק מהשכר שנסגר במו''מ	ram	18.12.21 18:30	14
זה כבר לא חדשות. מאז התגלו פרצות גם בגרסה 2.16	איתי שלום	18.12.21 21:03	15

Street

חבר מתאריך 2.1.17
18150 הודעות, 66 מדרגים, 104 נקודות. ראה משוב

יום ששי י''ג בטבת תשפ''ב 23:39 17.12.21

1. מכתב
בתגובה להודעה מספר 0

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Y to Y

חבר מתאריך 20.3.18
7204 הודעות, 41 מדרגים, 75 נקודות. ראה משוב

יום ששי י''ג בטבת תשפ''ב 23:45 17.12.21

2. הסבר בבקשה על מה זה הדבר הזה ולמה הוא משמש?
בתגובה להודעה מספר 0

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

GagoJan
חבר מתאריך 14.4.16
378 הודעות

יום ששי י''ג בטבת תשפ''ב 23:49 17.12.21

3. מדובר בניצול של צורת העבודה
בתגובה להודעה מספר 2

סיפריית log4j היא ספריית קוד פתוח שהרבה אפליקציות משתמשות בה בשביל לתדעת אירועים של המערכת
הפירצה מאפשר באמצעות הסיפרייה הזו לקרוא לסיפרייה אחרת ולממש את הקוד שלה (מאלף רגל כמובן..)
בפועל מה שזה אומר, שעבור אפליקציות שרצות על שרתי linux ומשתמשות ב-Java וספריית log4j בגרסאות מסויימות
אפשר לפנות לאפליקציות האלה ולהריץ עליהן קוד זדוני באופן מאוד פשוט

נניח, הפרצה רלוונטית למשחק מיינקראפט, אז מי שמריץ שרת מיינקראפט שהוא לא עדכני, אפשר להדביק את השרת בנוזקה (באמצעות הרצת הקוד דרך הפרצה) והנוזקה עצמה תדביק את כל מי שיתחבר לשרת

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Street
חבר מתאריך 2.1.17
18150 הודעות

יום ששי י''ג בטבת תשפ''ב 23:52 17.12.21

4. ומה הדרך הכי מהירה לתקן אותה ?
בתגובה להודעה מספר 3

**צוחק

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

KobyBD
חבר מתאריך 28.9.10
7952 הודעות

יום ששי י''ג בטבת תשפ''ב 23:55 17.12.21

6. או לכבות את השרת חח
בתגובה להודעה מספר 4

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Street
חבר מתאריך 2.1.17
18150 הודעות

יום ששי י''ג בטבת תשפ''ב 23:56 17.12.21

7. תמיד עדיף לעבור לפייתון
בתגובה להודעה מספר 6

מרוב שהיא איטית, היא לא נתנת לפריצה

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

KobyBD
חבר מתאריך 28.9.10
7952 הודעות

יום שבת י''ד בטבת תשפ''ב 00:02 18.12.21

8. אם כבר אז פסקל, רוב ההאקרים הצעירים לא יודעים מה זה בכלל
בתגובה להודעה מספר 7

עד היום אני זוכר שניסו ללמד אותנו את זה בבית ספר בשיעורי מחשב אבל תמיד ניסינו למצוא משחקים

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

GagoJan
חבר מתאריך 14.4.16
378 הודעות

יום שבת י''ד בטבת תשפ''ב 00:08 18.12.21

9. אם זה קוד שלך אז דחוף תקרא את השרשור בקישור
בתגובה להודעה מספר 4

צריך לשדרג לגרסה 2.1.16
בנוסף, הייתי עובר על הגדרות השרת
יש עוד משהו חשוב שצריך להריץ על השרת עצמו:
sudo egrep -I -i -r '\$(\{|%7B)jndi:(ldap?|rmi|dns|nis|iiop|corba|nds|http):/+' /var/log

הסקריפט הזה בעצם רץ בשרת על הלוגים בתיקיית var/log והוא מחפש נסיונות לניצול הפרצה
אם אתה מוצא משהו, אתה תראה משהו בסגנון
log4j:ldap...
ואז יהיו שם קודים של HTTP, לרוב אתה תראה 302 שזה REDIRECT לשרת אחר שבו יש את הנוזקה
אם תראה 200, זה דגל אדום (זה אומר שהבקשה עברה בהצלחה ויש מצב שירד לך משהו לשרת)

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Street
חבר מתאריך 2.1.17
18150 הודעות

יום שבת י''ד בטבת תשפ''ב 00:12 18.12.21

10. לא.. זה היה בהומור (ראה כוכבית)
בתגובה להודעה מספר 9

בכל מקרה תודה

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

GagoJan
חבר מתאריך 14.4.16
378 הודעות

יום שבת י''ד בטבת תשפ''ב 00:14 18.12.21

11. עכשיו קלטתי :)))
בתגובה להודעה מספר 10

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

KobyBD
חבר מתאריך 28.9.10
7952 הודעות

יום ששי י''ג בטבת תשפ''ב 23:55 17.12.21

5. מה שהוא אמר. כל מילה 👆
בתגובה להודעה מספר 3

ותודה על ההסבר הלא מסובך

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

המקור
חבר מתאריך 19.2.09
57495 הודעות

יום שבת י''ד בטבת תשפ''ב 15:55 18.12.21

12. הוציאו כבר 2.17 כי ב.2.16 התגלתה עוד פגיעה לDOS
בתגובה להודעה מספר 0

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

אלכס מהכרמל

חבר מתאריך 18.2.14
12892 הודעות, 214 מדרגים, 414 נקודות. ראה משוב

יום שבת י''ד בטבת תשפ''ב 17:22 18.12.21

13. כמה כסף שעות נוספות עשיתי על זה בימים האחרונים...
בתגובה להודעה מספר 0

ליצירת קשר alexmehakarmel at gmail

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

ram

חבר מתאריך 8.3.08
25628 הודעות, 162 מדרגים, 301 נקודות. ראה משוב

יום שבת י''ד בטבת תשפ''ב 18:30 18.12.21

14. אתה כנראה פרילנסר כי בהייטק הישראלי שעות נוספות כלולות כחלק מהשכר שנסגר במו''מ
בתגובה להודעה מספר 13

כביכול את השכר שאתה סוגר מראש, מחלקים לשכר בסיס ושכר שעות נוספות.

אז תוספת על השעות הנוספות לא קיבלתי, אבל שעות נוספות בהחלט קיבלתי ...

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

איתי שלום

חבר מתאריך 18.9.18
9429 הודעות, 52 מדרגים, 98 נקודות. ראה משוב

יום שבת י''ד בטבת תשפ''ב 21:03 18.12.21

15. זה כבר לא חדשות. מאז התגלו פרצות גם בגרסה 2.16
בתגובה להודעה מספר 0

עכשיו כבר הוציאו גרסה 2.17
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html

אולי כדאי להתחיל למחוק את הספריה במקום להתקין פאצ' על פאצ'.

תגובה עם ציטוט | תגובה מהירה (ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד