Portada
mis comunidades
otras secciones
#40 Claro. https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).
#42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a $.
Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en que cuando le preguntas por El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap:/// y descargar el exploit.
#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.
#34 No. Puedes ver el ejemplo en la web de Palo Alto, donde muestran la peticion al servidor, y el comando incluido en ella. En ese ejemplo enseñan concatenado "curl", "wget", "bash" pero podria haber sido cualquier otro.
#37 creo que puedo decir sin miedo a equivocarme que conozco esta vulnerabilidad extremadamente bien, y no funciona como dices. Si tienes el enlace, puedo echar un vistazo, ver exactamente qué comentan, pero estoy convencido que hablan de la vulnerabilidad de ejecución remota que todos conocemos
#40 Claro. https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).
#42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a $.
Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en que cuando le preguntas por El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap:/// y descargar el exploit.
#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.
#2 Esto es importante de aplicar, pero no todos los ataques se enfocan en descargar codigo desde un servidor remoto.
Este ataque podria invocar otros comandos para crear por ejemplo un binario o un script ejecutable. Por ejemplo, reemplazando una utilidad del sistema ya tendria permisos de ejecucion.
Ejemplo: "echo "xyz" > /usr/bin/nslookup", concatenando lineas hasta que el binario esta completado.
El binario podria tener como funcionalidad capturar credenciales a bases de datos, escaneo de puertos, coleccion de certificados privados etc.
Enviar trafico al exterior en ciertos escenarios es posible yendo encapsulado con DNS u otro trafico, o a traves de otro nodo. Pero siendo un servidor web, podrias recopilar los datos en un archivo o varios en el directorio web y despues descargarlos llamando la URL.
#37 creo que puedo decir sin miedo a equivocarme que conozco esta vulnerabilidad extremadamente bien, y no funciona como dices. Si tienes el enlace, puedo echar un vistazo, ver exactamente qué comentan, pero estoy convencido que hablan de la vulnerabilidad de ejecución remota que todos conocemos
#40 Claro. https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).
#42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a $.
Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en que cuando le preguntas por El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap:/// y descargar el exploit.
#11 Esto... si tengo un ecommerce tengo q tener la entrada HTTP/HTTPS abierta a cualquiera que quiera comprarme (aunque siempre se puede limitar por país de origen o por reputación de IP para controlar un poco).
Pero mi servidor web no tiene porqué tener salida a Internet por si mismo, más que a aquello que necesite.
#3 Veo que #6 lo ha explicado mejor que yo
#24 Obviamente no hay solución mágica (o dejaríamos de cobrar a final de mes ) pero como 'la moda' es usar sistemas modulares donde una vez tomas control del servidor te descargas los módulos que necesites... con un buen control de tráfico saliente limitarías muchos ataques.
Aunque es más fácil decir que hacer
#35 si tienes toda la razón, pero de ahí a aconsejar que antes que filtrar en la entrada lo hagan en la salida.... Porque vamos que poner una web Shell es facilísimo y no hace falta que el servidor tenga conexión. Es más, al cargar en memoria la clase de Java puedes cargar en memoria la webshell y eso ya es más jodido de pillar.
Los C2 que hagan conexiones inversas muy bien, pero como no soluciones el problema poco vas a hacer
#25 Estan afectados. Lo puedes comprobar online con tu clave publica en https://keychest.net/roca
#94 Al final lo he hecho yo mismo. Efectivamente, el DNIe 3.0 está afectado por la vulnerabilidad ROCA.
«is intended to "highlight the interface between the eastbound carriageway and the beginning of a new contraflow facility"»
Yo lo veo bien, por ejemplo en Sevilla se encuentran trozos de carril bici a lo largo de algunas calles para indicar el lado por el que debes pasar.
Esa es mi profesora!
#92 No sé como irá en esos megacontratos de los operadores con las cadenas de televisión, pero normalmente lo que se llevan son 0,30€ por mensaje. Por lo menos en todas las pasarelas que he montado o visto.
Pues casi casi es vecino mio, a lo mejor me acerco un dia para preguntarle.
Por cierto, el sitio carga desde http://usuariodeltriunfo.com/tdt3
#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.
#40 Claro. https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).
#42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a $.
Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en que cuando le preguntas por El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap:/// y descargar el exploit.
#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.
#34 No. Puedes ver el ejemplo en la web de Palo Alto, donde muestran la peticion al servidor, y el comando incluido en ella. En ese ejemplo enseñan concatenado "curl", "wget", "bash" pero podria haber sido cualquier otro.
#37 creo que puedo decir sin miedo a equivocarme que conozco esta vulnerabilidad extremadamente bien, y no funciona como dices. Si tienes el enlace, puedo echar un vistazo, ver exactamente qué comentan, pero estoy convencido que hablan de la vulnerabilidad de ejecución remota que todos conocemos
#40 Claro. https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).
#42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a $.
Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en que cuando le preguntas por El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap:/// y descargar el exploit.
#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.
#2 Esto es importante de aplicar, pero no todos los ataques se enfocan en descargar codigo desde un servidor remoto.
Este ataque podria invocar otros comandos para crear por ejemplo un binario o un script ejecutable. Por ejemplo, reemplazando una utilidad del sistema ya tendria permisos de ejecucion.
Ejemplo: "echo "xyz" > /usr/bin/nslookup", concatenando lineas hasta que el binario esta completado.
El binario podria tener como funcionalidad capturar credenciales a bases de datos, escaneo de puertos, coleccion de certificados privados etc.
Enviar trafico al exterior en ciertos escenarios es posible yendo encapsulado con DNS u otro trafico, o a traves de otro nodo. Pero siendo un servidor web, podrias recopilar los datos en un archivo o varios en el directorio web y despues descargarlos llamando la URL.
#37 creo que puedo decir sin miedo a equivocarme que conozco esta vulnerabilidad extremadamente bien, y no funciona como dices. Si tienes el enlace, puedo echar un vistazo, ver exactamente qué comentan, pero estoy convencido que hablan de la vulnerabilidad de ejecución remota que todos conocemos
#40 Claro. https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).
#42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a $.
Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en que cuando le preguntas por El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap:/// y descargar el exploit.
#11 Esto... si tengo un ecommerce tengo q tener la entrada HTTP/HTTPS abierta a cualquiera que quiera comprarme (aunque siempre se puede limitar por país de origen o por reputación de IP para controlar un poco).
Pero mi servidor web no tiene porqué tener salida a Internet por si mismo, más que a aquello que necesite.
#3 Veo que #6 lo ha explicado mejor que yo
#24 Obviamente no hay solución mágica (o dejaríamos de cobrar a final de mes ) pero como 'la moda' es usar sistemas modulares donde una vez tomas control del servidor te descargas los módulos que necesites... con un buen control de tráfico saliente limitarías muchos ataques.
Aunque es más fácil decir que hacer
#35 si tienes toda la razón, pero de ahí a aconsejar que antes que filtrar en la entrada lo hagan en la salida.... Porque vamos que poner una web Shell es facilísimo y no hace falta que el servidor tenga conexión. Es más, al cargar en memoria la clase de Java puedes cargar en memoria la webshell y eso ya es más jodido de pillar.
Los C2 que hagan conexiones inversas muy bien, pero como no soluciones el problema poco vas a hacer
#25 Estan afectados. Lo puedes comprobar online con tu clave publica en https://keychest.net/roca
#94 Al final lo he hecho yo mismo. Efectivamente, el DNIe 3.0 está afectado por la vulnerabilidad ROCA.
«is intended to "highlight the interface between the eastbound carriageway and the beginning of a new contraflow facility"»
Yo lo veo bien, por ejemplo en Sevilla se encuentran trozos de carril bici a lo largo de algunas calles para indicar el lado por el que debes pasar.
Esa es mi profesora!
#92 No sé como irá en esos megacontratos de los operadores con las cadenas de televisión, pero normalmente lo que se llevan son 0,30€ por mensaje. Por lo menos en todas las pasarelas que he montado o visto.
Pues casi casi es vecino mio, a lo mejor me acerco un dia para preguntarle.
Por cierto, el sitio carga desde http://usuariodeltriunfo.com/tdt3
#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.