Certes mais tu ne peux pas faire grand chose d'autres, dans la trèèès large majorité des cas ... le pouvoir obtenu est complétement bénin.
Certes mais tu ne peux pas faire grand chose d'autres, dans la trèèès large majorité des cas ... le pouvoir obtenu est complétement bénin.
- La version 3 est arrivée !
J'en reviens pas de devoir expliquer ça ici, mais un accès à la bdd de prod est pire qu'un accès root. Il y a toutes les informations des gens dedans, leurs mails, parfois téléphone et adresse physiques, et parfois des informations encore plus sensibles comme dans le médical ou les banques.
Pas de soucis Mais ouais, les bases de données, c'est LE truc que tu veux pas te faire hacker dans le web. Et donc c'est aussi la cible numéro 1. Les listings d'emails se revendent sur le darknet par exemple.
Y'a eu plusieurs rapports (via des honey pots notamment) qu'un des payloads les plus commun c'est un mineur de crypto currency, marrant
Ça m'etonne pas, c'est surement plus facilement rentable. Je préfère 1000 fois miner quelques crypto à mon insu que d'avoir une base de données filtrer cela dit
D'ailleurs juste pour vous rendre compte de l'ampleur du soucis log4j, je regardais les logs d'un site que j'ai fait qui n'est pas encore ouvert (et derrière de l'auth htaccess, et avec un nom de domaine inconnu du public), et il y avait plusieurs tentative d'utiliser la faille. Les mecs scans tout.
Et même sans accès à la BDD, tu peux foutre un sacré zbeul sur les serveurs avec des accès lambda.
Surtout que ça permet d'utiliser plein d'autres failles potentielles dont la difficulté de mise en œuvre était l'accès machine.
Ben ça a plusieurs avantages :
- ça peut rester relativement discret
- ça donne un revenu régulier
- les risques d'emmerdes sont bien plus faibles qu'avec le vol de données (surtout si ça touche des domaines sensibles)
C'est la faute à Arteis
Et même sans accès root, tu as un accès a l'exterieur bien dissimulé, qui te permet de facilement transporter des payload, qui elle éventuellement, te permettront peut-être de faire une escalade de privilèges. C'est clairement pas bénin, comme attaque. Certes, si tu as un design de reseau correct et une bonne politique de mise a jour de tes dépendances, tu peux limiter les impacts. Mais tout le monde n'a pas forcement ces deux choses. Et la facilité d'exploitation de la faille est un vrai souci, parce qu'elle permet de facilement et rapidement reperer les systèmes sensibles.
Ce qu'il faut savoir, c'est qu'on ment beaucoup aux minmatars, surtout lorsqu'ils posent des questions du style: "t'es sûr que ça vole, ce truc ?" Cooking Momo, le 30/08/09
Et si l'escalade de privilèges n'est pas possible, il est très simple de déclencher un DDoS, et en contournant tout ce qui aurait pu être mis en place contre ce genre d'attaque sur le serveur.
Ok, merci pour vos éclaircissements.
Du coup on a des exemples de truc un peu critique qui sont tombés à cause de cette faille actuellement ?
Les strings sont des templates (basic_string<char>). Mais, en effet, on passe normalement plus de temps à utiliser des templates, qu'à en écrire.
Tiens, pour en revenir à log4shell, Gradle vient de sortir une release pour intégrer la version patchée de log4j.
Je ne sais pas s'il l'utilise pas défaut, mais si oui, y'aurait peut être moyen de s'amuser sur les CI en ligne de GitHub, Azure, Travis etc
Pas grand chose non plus, vu que le pipeline est containérisé, mais il y a peut être moyen de voler des secrets, ché pas.
[edit] Bon, en fait sur GitHub les PR sont protégées depuis un moment, faut l'accord du mainteneur pour lancer un pipeline, donc ça va. Mais je me demande ce qu'il en est ailleurs...
Dernière modification par gros_bidule ; 22/12/2021 à 17h10.
Rhalala, plein d'équipes à mon boulot ont mis leur projet à jour en urgence suite à l'annonce de log4shell.
Ce qui est un peu dommage, c'est que les gens (bcp non experts Java) ont un peu paniqué en voyant log4j-api et log4j-to-sfl4j dans leurs dépendances. Ils ne savaient pas que ces libs ne sont pas vulnérables. On ne l'est qui si l'on dépend et utilise log4j-core
Au moins ils ont réagit vite, et vite déployé, c'est pas comme d'autres boites.
C'est la faute à Arteis
J'ai du mal à comprendre comment ça pourrait être d'une quelconque difficulté pour une IA ... une simple bruteforce avec vérification de toutes les combinaisons à chaque tour fairait le job très vite ...
Si le but est de limiter les robots je vois pas le principe...
On est clairement sur un captcha qui sera plus facile à résoudre pour une IA que pour un humain.
La cerise sur le gâteau c'est quand même de devoir résoudre 10 putain de fois leur puzzle.
C'est la faute à Arteis
Évidemment que tu peux mettre place un classifieur automatique capable de résoudre ce problème spéficique. Comme pour à peut près tout les tests de ce genre.
C'est juste que le temps de mettre au point ton robot et de le faire tourner, Skype aura mis en place un autre problème à résoudre.
Rien ne me choque moi, je suis un scientifique ! - I. Jones
Moi genre à la 8ème je mettrais "down" au lieu de "up" et tu devras recommencer mais avec 15 trucs.
Puis à la 11ème je mettrais left ...
Nan mais t'a même pas besoin. En 5 minute tu fais un algo même pas réseau de neurone qui reconnais leurs flèches dans toutes les orientations possibles par simple convolution. Tu test tout les pixels avec toutes les orientations de ton filtres, t'obtient les position des flèches avec leur direction et tu cherches les deux avec la même direction, tu tourne jusqu’à ce que ce soit en haut.
Ça prend 10 minute, niveau licence, même pas besoin de classifier quoi que ce soit sérieusement. J'ai jamais vu un Capacha aussi ridicule Un simple capcha « recopiez le texte à l'écran » avec un texte tout tordu est infiniment plus sécurisé, c'est dire ...
Nan franchement je vois pas à quoi ils ont pensé en faisant ça
Ce n'est pas ce que je te dis. Même sans réseau de neurone, avec une analyse d'image idoine, tu ponds un algo qui traite le problème assez rapidement.
Je te dis que ces trucs sont toujours facile à résoudre avec un algo spécifique. Ce que cherche Skype n'est pas ça. Skype cherche juste à coincer un robot "classique" par la nouveauté du test. Si les robots se mettent à intégrer ce problème, Skype en posera un nouveau.
En gros ça prends encore moins de temps pour Skype de poser le problème, que le temps pour le robot d'apparaitre sur le marché.
Rien ne me choque moi, je suis un scientifique ! - I. Jones
Certes, je comprends sur le fond, mais en l'occurence j'ai du mal à voir comment ça peut être une stratégie rentable quand l'algo idoine en question s'écrit en 15 minutes ^^
Il y a une certaine inertie chez les concepteurs de robots qui est exploitée, c'est tout.
C'est comme ça sur tous les problème de détection de contrefaction.
Rien ne me choque moi, je suis un scientifique ! - I. Jones
Je ne me rends absolument pas compte, n'ayant jamais croisé sur Skype de blonde à forte poitrine désireuse de mieux me connaître, mais y'en a tant que ça des bots Skype pour avoir besoin d'un captmiaou ?
Je n'en ai aucune idée.
Rien ne me choque moi, je suis un scientifique ! - I. Jones