ערכתי לאחרונה בתאריך 17.12.21 בשעה 23:41 בברכה, KobyBD
בהמשך לאשכול ויותר רקע על פירצת האבטחה:
https://rotter.net/forum/scoops1/724229.shtml
פירצת ה-Log4J שהטרידה מנהלי IT בשבוע האחרון ממשיכה לגרום לכאבי ראש כאשר נראה שלתיקון ששוחרר כדי לחסום את הפריצות יש ליקויי אבטחה משלו. חלק מהחברות שכבר עדכנו ל-Log4J 2.15.0 המשיכו לסבול מהתקפות של לפחות אחת משתי נקודות חולשה חדשות שנמצאו.
בשבוע שעבר, חוקרי אבטחה הודיעו למפתחים שהם גילו פירצה שנוצלה באופן פעיל במסגרת Apache Struts. החולשה התגלתה ב-Log4J. קרן Apache פרסמה תיקון עם גרסה 2.15.0 וחשפה את הפירצה באופן פומבי במהלך סוף השבוע.
במהלך 72 השעות שלאחר הוצאת העדכון, ניצול הפירצה זינק, כאשר חוקרים עקבו אחר עד 100 התקפות בדקה וכמעט מיליון תקריות בסך הכל.
חברות גדולות, כולל אפל, אמזון, סיסקו ואחרות, נאבקו כדי לתקן את הבעיה. כמעט באותה מהירות שהמערכות התקינו את Log4J 2.15.0, חברות האבטחה Praetorian ו-Cloudflare החלו לראות התקפות פעילות במערכות שבהם הותקן התיקון.
שתי החברות שומרות את הפרטים הטכניים של החולשות בסתר בזמן שעובדי התעשייה מעדכנים את המערכות שלהם. חברות האבטחה ממליצות לכל החברות לעדכן לגירסא 2.16.0 בהקדם האפשרי.
https://www.techspot.com/news/92661-log4j-patch-fix-serious-zero-day-has-own.html
חבר מתאריך 2.1.17
18150 הודעות, 66 מדרגים, 104 נקודות. ראה משוב
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 20.3.18
7204 הודעות, 41 מדרגים, 75 נקודות. ראה משוב
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 14.4.16
378 הודעות
בתגובה להודעה מספר 2
סיפריית log4j היא ספריית קוד פתוח שהרבה אפליקציות משתמשות בה בשביל לתדעת אירועים של המערכת
הפירצה מאפשר באמצעות הסיפרייה הזו לקרוא לסיפרייה אחרת ולממש את הקוד שלה (מאלף רגל כמובן..)
בפועל מה שזה אומר, שעבור אפליקציות שרצות על שרתי linux ומשתמשות ב-Java וספריית log4j בגרסאות מסויימות
אפשר לפנות לאפליקציות האלה ולהריץ עליהן קוד זדוני באופן מאוד פשוט
נניח, הפרצה רלוונטית למשחק מיינקראפט, אז מי שמריץ שרת מיינקראפט שהוא לא עדכני, אפשר להדביק את השרת בנוזקה (באמצעות הרצת הקוד דרך הפרצה) והנוזקה עצמה תדביק את כל מי שיתחבר לשרת
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 2.1.17
18150 הודעות
בתגובה להודעה מספר 3
**צוחק
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 28.9.10
7952 הודעות
בתגובה להודעה מספר 4
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 2.1.17
18150 הודעות
בתגובה להודעה מספר 6
מרוב שהיא איטית, היא לא נתנת לפריצה
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 28.9.10
7952 הודעות
בתגובה להודעה מספר 7
עד היום אני זוכר שניסו ללמד אותנו את זה בבית ספר בשיעורי מחשב אבל תמיד ניסינו למצוא משחקים
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 14.4.16
378 הודעות
בתגובה להודעה מספר 4
צריך לשדרג לגרסה 2.1.16
בנוסף, הייתי עובר על הגדרות השרת
יש עוד משהו חשוב שצריך להריץ על השרת עצמו:
sudo egrep -I -i -r '\$(\{|%7B)jndi:(ldap?|rmi|dns|nis|iiop|corba|nds|http):/+' /var/log
הסקריפט הזה בעצם רץ בשרת על הלוגים בתיקיית var/log והוא מחפש נסיונות לניצול הפרצה
אם אתה מוצא משהו, אתה תראה משהו בסגנון
log4j:ldap...
ואז יהיו שם קודים של HTTP, לרוב אתה תראה 302 שזה REDIRECT לשרת אחר שבו יש את הנוזקה
אם תראה 200, זה דגל אדום (זה אומר שהבקשה עברה בהצלחה ויש מצב שירד לך משהו לשרת)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 2.1.17
18150 הודעות
בתגובה להודעה מספר 9
בכל מקרה תודה
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 14.4.16
378 הודעות
בתגובה להודעה מספר 10
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 28.9.10
7952 הודעות
בתגובה להודעה מספר 3
ותודה על ההסבר הלא מסובך
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 19.2.09
57495 הודעות
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 18.2.14
12892 הודעות, 214 מדרגים, 414 נקודות. ראה משוב
בתגובה להודעה מספר 0
ליצירת קשר alexmehakarmel at gmail
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 8.3.08
25628 הודעות, 162 מדרגים, 301 נקודות. ראה משוב
בתגובה להודעה מספר 13
כביכול את השכר שאתה סוגר מראש, מחלקים לשכר בסיס ושכר שעות נוספות.
אז תוספת על השעות הנוספות לא קיבלתי, אבל שעות נוספות בהחלט קיבלתי ...
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 18.9.18
9429 הודעות, 52 מדרגים, 98 נקודות. ראה משוב
בתגובה להודעה מספר 0
עכשיו כבר הוציאו גרסה 2.17
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
אולי כדאי להתחיל למחוק את הספריה במקום להתקין פאצ' על פאצ'.
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד