LCC 272 - Interview sur Log4Shell avec this - (Les Cast Codeurs Podcast) Podcast Details

Description

Emmanuel et Arnaud reviennent sur la fameuse faille #log4shell qui a fait travailler beaucoup d’équipes Java en décembre et janvier.

Enregistré le 11 février 2022

Téléchargement de l’épisode LesCastCodeurs-Episode–272.mp3

Reportée chez Apache le 24 Novembre, Enregistrée en CVE le 26 Nov Probablement connue depuis au moins Mars 2021: https://github.com/nice0e3/log4j_POC

fix 2.15.0 le 10 décembre
Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.
Severity CVSS de 10 sur 10
- jamais vu
Back to basics: C’est quoi JNDI?
the JNDI features used in configurations, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints
l’attaquant trouve une donnée utilisateur qui est loggée
- Pas que HTTP
et injecte {JNDI:ldap pointant vers un ldap malicieux qui retour du code java sérialisé
log4j deserialise et execute ce que l’on veut
que log4j2-core pas api
détail de Lunasec log4j zero day
- mitigations initiales

2.16.0 (change des fonctionalités) le 13 décembre
Apache Log4j2 Thread Context Lookup Pattern vulnerable to remote code execution in certain non-default configurations
When the logging configuration uses a non-default Pattern Layout with a Context Lookup
- $${ctx:loginId})
attackers with control over Thread Context Map (MDC / Mapped Diagnostic Context) input data can craft malicious input data using a JNDI Lookup pattern
donc on peut injected une chaine JNDI encore
mais on doit savoir comment de la date utilisateur on peut pousser dans une Thread Context Map référencée par la config
on alors l’attaquant a accès à la config et c’est game over
Initialement on parlait de denial of services
- via une reference infinie probablement
c’est une chemin qui n’était pas protégé des interpolations de messages et donc de l’accès JNDI

fix dans 2.17.0 le 18 décembre
recursion non controlée dans un lookup auto référentiel
When the logging configuration uses a non-default Pattern Layout with a Context Lookup (for example, $${ctx:loginId}
Besoin de l’attaquant control de Thread Context Map (peut etre une donnée injectée par un framework d’une entrée utilisateur
changer la config log4j locale?

2.17.1 le 27 décembre
Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration
malicious configuration using a JDBC Appender with a data source referencing a JNDI URI which can execute remote code.
attaquant accede et modifie la config
- pas simple
- sauf si la plateforme permet la reconfiguration par un utilisateur???
log

montre 8% de packages sur central affectés par log4j 2
niveau de dépendance transitive monte jusqu’à 9
- du coup il y a neuf vendeurs qui doivent corriger leurs dépendances

Log4j1 n’est pas en reste:

Peu au final Car chaque usage de log4j est unique Entrée quoi est loggé etc Donc trop dur pour les script kiddies

Mais dans les megasploits et autres toolkits d’attaque

VMware vSphere et Hoirizon Ubiquity Solarwind etc

La chine a tapé sur les doigts Alibaba qui n’a pas donné cette faille d’abord au gouvernement chinois

Discussion sur le paiement et l’open source
- Pour un individuel l’open source est un cadeau, et donner de l’argent n’améliore pas le cadeau
- Injecter de la compensation financière dans un cadeau casse le cadeau et ne change pas la motivation (ou la casse)
- Pour une société, l’open source est un moyen de récupérer du feedback et du marketing, donc c’est une transaction et pas un cadeau
Un autre article similaire burden open source maintainer

marathon pas un sprint, on fatigue après 5 ou 6 jours a fond, donc faites des rotations
comm sur le réseau, que regarder : Adding encryption, Auth/Auth, I sanitize data that goes over the wire, I sanitize input that could execute, DOS protection – backoff strategies and more.
supply chain sécurisation and component governance
OSS funding (hum?)