MAX3400 schreef op vrijdag 10 december 2021 @ 14:15:
Heb je het gemeld via
https://tweakers.net/submit/ ?
Waarom vind je het zo makkelijk te misbruiken aangezien er veel (oude) JDK's niet geraakt zijn?
Overigens, en allicht lees ik verkeerd: het gaat alleen om servers die direct aan het internet hangen. Als jij Log4J op een "secondary" server inzet die alleen tegen de primary http-daemon praat, dan is je attack-vector ongeveer 0 omdat je als "hacker" eerst de http-daemon moet openbreken voordat je uberhaupt weet waar Log4J draait.
Maar, hoor graag je mening
/edit: JDK - released oktober 2018 -> alles sinds die tijd is niet vulnerable?
Dit gaat in de praktijk veel verder kunnen gaan dan louter wat web servers die rechtstreeks aan het internet hangen. Het gaat zelfs verder dan enkel web servers.
Dat het van Apache is betekent niet dat het enkel door de Apache web server gebruikt. Dit kan gebruikt worden door zowat alles wat Java gebruikt. Zo wordt dit ook gebruikt door Logstash, Elasticsearch,...
Zodra die library gebruikt wordt en dit aangeroepen wordt wordt de code in kwestie uitgevoerd.
Het hoeft zelfs niet enkel via een online aanval te gaan. Hoeveel systemen maken er tegenwoordig gebruik van barcode en QR codes? Wat als die de input van de scans loggen?
Denk hierbij aan ziekenhuizen die bezoekerscodes afdrukken (met poortjes aan de ingang bijvoorbeeld), parkeerautomaten, de bagageafhandeling op de luchthaven, koerierdiensten, supermarkten, warehouses, ...
Ik weet niet in detail hoe geautomatiseerd het scannen in de depots van koerierdiensten werkt, maar als die elke code scannen die ze zien op een pakje en dit loggen heb je als het ware een mogelijkheid om bij elke tussenliggende scan van zo'n pakketje de string in kwestie te laten loggen.
Er zijn inmiddels al een hoop voorbeelden in de praktijk te vinden online. Van inderdaad de chat van Minecraft, tot het veranderen van de naam van je iPhone in die string.
Dit valt allemaal simpel te testen door even een subdomeintje aan te maken op dnslog.cn en de string met dat subdomein te gebruiken op diverse plaatsen.