Suite à la publication de la faille log4shell (CVE-2021-44228), la majorité des systèmes informatiques, basés notamment sur Java, seraient vulnérables.
La faille permettrait à un utilisateur distant non authentifié de prendre le contrôle total sur le système.
Des correctifs et des mesures de mitigation viennent d'être publiés pour se défendre contre cette faille 0-day.
Apache Struts, Tomcat, ElasticSearch (utilisés par Magento, Sage X3 et d'autres plateformes), Logstash, IBM Qradar SIEM, VMWare, NetApp, Cisco, F5, Citrix, McAfee, Oracle, Webex, Pulse Secure
Exécuter Sous linux :
grep -r "org/apache/logging/log4j/core/lookup/JndiLookup.class" /
Utiliser l’utilitaire : log4j RCE Exploitation Detection https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Ou encore Log4j RCE Scanner :
https://github.com/adilsoybali/Log4j-RCE-Scanner
Il a été remarqué que des sources d’attaque sont activement exploitées par l’attaque
Il est recommandé donc de paramétrer les firewall pour désactiver les trafics entrants et sortants à partir des IP et FQDN observés (liste non exhaustives et sera mise à jour régulièrement):
45.155.203.233 185.191.32.198 45.137.155.55 185.154.53.140 44.240.146.137 209.141.41.103 209.127.17.242 18.27.197.252 109.237.96.124 185.100.87.202 213.164.204.146 185.220.101.146 171.25.193.20 178.17.171.102 45.155.205.233 171.25.193.25 171.25.193.77 171.25.193.78 185.220.100.242 185.220.101.39 18.27.197.252 89.234.182.139 104.244.79.6 164.52.212.196 193.196.53.232 80.71.158.12 62.210.130.250 164.52.212.196
x41.me m3.wtf cuminside.club abrahackbugs.xyz pwn.af rce.ee interactsh.com vikingo.org burpcollaborator.net canarytokens.com dnslog.cn requestbin.net
Paramétrer les UTM et antivirus pour refuser la signature suivante
(SHA256):
8b1d95123a8da5fc351422aa057b9ec7a954c608570757d644e56c72133ec1ed
370048d94830f0ebd41b052ef455ae4b5b7ca62cab27d1d8d94fdade67e454d0
1a5550f8c0fd049c03d55ebf6829b65d87e27c785f5c6e968dbd3af2ea5b0b50
En cas de besoin, n'hésitez pas à nous contacter ([email protected]) ou à joindre un professionnel en sécurité informatique
En poursuivant votre navigation, vous acceptez l’utilisation, de la part de Dyxis et de tiers, de cookies et autres traceurs à des fins techniques, statistiques, partage avec les réseaux sociaux, profilage, personnalisation des contenus et publicité personnalisée sur nos services et ceux de nos partenaires.
Paramètres
A propos de l'auteur
Donia Hamouda
Co-Founder & Business Development Manager
Dyxis - Cloud Provider
janvier 2015 – Aujourd’hui
Tunisie - Canada
Dyxis - SSI
SSII spécialisée en web engineering, Business Intelligence, Solutions Métier SaaS
Online Payment / Sécurité informatique / CMS
Mesure d’audience TV & Monitoring Media
E-tourisme / Billetterie électronique
Cloud computing et virtualisation de datacenter
Hosting & Streaming solutions
Kyntis - Marketing & Training Solutions – Kyntis Marketing, Digital & Training Solutions