Security Professionals - ipfw add deny all from eindgebruikers to any

Log4j 0-day RCE

10-12-2021, 10:13 door Anoniem, 22 reacties
Hier de details: https://www.lunasec.io/docs/blog/log4j-zero-day/
Dit is groot.
Reacties (22)
10-12-2021, 18:34 door Anoniem
Dit is groot.
Nee, slechts een druppel op een hete plaat.
11-12-2021, 14:54 door Anoniem
Gelukkig installeert iedereen kritische beveiligingsupdates altijd binnen 24 uur. Na het weekend is er niks meer aan de hand.
11-12-2021, 20:20 door Anoniem
Door Anoniem: Gelukkig installeert iedereen kritische beveiligingsupdates altijd binnen 24 uur. Na het weekend is er niks meer aan de hand.

Veel updates zijn er nog niet eens.
11-12-2021, 21:53 door Anoniem
De grote training voor de 'WEF upcoming outing'?
Wat is de threat grade? Er hangt iets in de lucht,
mensen. Men 'zoekt' naar een big vulner.
#sockpuppet
12-12-2021, 11:49 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig installeert iedereen kritische beveiligingsupdates altijd binnen 24 uur. Na het weekend is er niks meer aan de hand.

Veel updates zijn er nog niet eens.
Dan nog is exploitatie er lastig. Belangrijke servers zullen altijd gebruik maken van een uitgaande proxy en geen DNS resolver met internet toegang kunnen gebruiken. Je moet dus heel veel geluk hebben dat je exploitatie server op de whitelist staat. DNS exfiltratie is vergelijkbaar lastig uit te voeren.

Least privilege is al jaren een belangrijke defense in depth maatregel en dat voorkomt in dit geval dat de meeste bedrijven gehacked zullen worden.
13-12-2021, 09:36 door _R0N_
Door Anoniem: Gelukkig installeert iedereen kritische beveiligingsupdates altijd binnen 24 uur. Na het weekend is er niks meer aan de hand.

Als er updates waren wel.
De work-around toepassen is voor veel mensen te moeilijk en offline halen kost mogelijk geld.
13-12-2021, 09:37 door _R0N_
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig installeert iedereen kritische beveiligingsupdates altijd binnen 24 uur. Na het weekend is er niks meer aan de hand.

Veel updates zijn er nog niet eens.
Dan nog is exploitatie er lastig. Belangrijke servers zullen altijd gebruik maken van een uitgaande proxy en geen DNS resolver met internet toegang kunnen gebruiken. Je moet dus heel veel geluk hebben dat je exploitatie server op de whitelist staat. DNS exfiltratie is vergelijkbaar lastig uit te voeren.

Least privilege is al jaren een belangrijke defense in depth maatregel en dat voorkomt in dit geval dat de meeste bedrijven gehacked zullen worden.

Misbruik is juist heel makkelijk, denken dat er weinig aan de hand is is echt je kop in het zand steken.
Er was vrijdag ochtend Nederlandse tijd, al melding van wereldwijde misbruik.
13-12-2021, 09:39 door Anoniem
Leuke ochtend zo bij ons bedrijf.

Geen week is ook hetzelfde in dit vakgebied.
13-12-2021, 10:29 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig installeert iedereen kritische beveiligingsupdates altijd binnen 24 uur. Na het weekend is er niks meer aan de hand.

Veel updates zijn er nog niet eens.
Dan nog is exploitatie er lastig. Belangrijke servers zullen altijd gebruik maken van een uitgaande proxy en geen DNS resolver met internet toegang kunnen gebruiken. Je moet dus heel veel geluk hebben dat je exploitatie server op de whitelist staat. DNS exfiltratie is vergelijkbaar lastig uit te voeren.

Least privilege is al jaren een belangrijke defense in depth maatregel en dat voorkomt in dit geval dat de meeste bedrijven gehacked zullen worden.

Misbruik is juist heel makkelijk, denken dat er weinig aan de hand is is echt je kop in het zand steken.
Er was vrijdag ochtend Nederlandse tijd, al melding van wereldwijde misbruik.
Er is een groot verschil tussen misbruik en poging tot!
13-12-2021, 13:12 door Anoniem
Door Anoniem: De grote training voor de 'WEF upcoming outing'?
Wat is de threat grade? Er hangt iets in de lucht,
mensen. Men 'zoekt' naar een big vulner.
#sockpuppet
Als je niet snapt waar het over gaat met je WEF, dan kan je ook gewoon je mond houden ;-)
Grappig dat 9/10 mensen die janken over de WEF nauwelijks enig benul hebben wat ze doen. Als ik voor elke reactie op internet hierover een euro kreeg, dan was ik nu multimiljonair geweest. ;-)
13-12-2021, 13:18 door Anoniem
Door Anoniem: .
Er is een groot verschil tussen misbruik en poging tot!
Er is actief misbruik geregistreerd waarom denk je dat alle fabrikanten op dit moment bezig zijn en niet het in monthly patches gooien. Hier even een voorbeeldje: https://twitter.com/balgan/status/1469313802235752454?s=21

Verwacht rond de feestdagen maar dat de bom gaat barsten bij de bedrijven die geen actie op tijd hebben ondernomen en hoop dat het geen van je tussenleveranciers betreft.

Beheerders bij Kaseya zullen waarschijnlijk nu nagels aan het bijten zijn dat hun klanten wel de patches doorvoeren. Die kunnen nu geen berichten meer gebruiken waarin hun naam naar voren komt gezien het grote Kaseya ansomeware debakel van juli dit jaar ;)
14-12-2021, 08:19 door Bitje-scheef
Door Anoniem:
Door Anoniem: .
Er is een groot verschil tussen misbruik en poging tot!
Er is actief misbruik geregistreerd waarom denk je dat alle fabrikanten op dit moment bezig zijn en niet het in monthly patches gooien. Hier even een voorbeeldje: https://twitter.com/balgan/status/1469313802235752454?s=21

Verwacht rond de feestdagen maar dat de bom gaat barsten bij de bedrijven die geen actie op tijd hebben ondernomen en hoop dat het geen van je tussenleveranciers betreft.

Beheerders bij Kaseya zullen waarschijnlijk nu nagels aan het bijten zijn dat hun klanten wel de patches doorvoeren. Die kunnen nu geen berichten meer gebruiken waarin hun naam naar voren komt gezien het grote Kaseya ansomeware debakel van juli dit jaar ;)

Kaseya verklaart tot nu toe niet kwetsbaar te zijn voor Log4j :-)
14-12-2021, 10:23 door MrMerlin
Door Anoniem:
Door Anoniem: .
Er is een groot verschil tussen misbruik en poging tot!
Er is actief misbruik geregistreerd waarom denk je dat alle fabrikanten op dit moment bezig zijn en niet het in monthly patches gooien. Hier even een voorbeeldje: https://twitter.com/balgan/status/1469313802235752454?s=21

Verwacht rond de feestdagen maar dat de bom gaat barsten bij de bedrijven die geen actie op tijd hebben ondernomen en hoop dat het geen van je tussenleveranciers betreft.

Beheerders bij Kaseya zullen waarschijnlijk nu nagels aan het bijten zijn dat hun klanten wel de patches doorvoeren. Die kunnen nu geen berichten meer gebruiken waarin hun naam naar voren komt gezien het grote Kaseya ansomeware debakel van juli dit jaar ;)

Nu zijn hacker alleen bezig om zoveel mogelijk systemen te voorzien van backdoors.

In onze bewaking zien wij allerlei pogingen.

Met alle aandacht is de tijd dat hackers echt substantieel actie kunnen ondernemen beperkt.

Wel verwacht ik dat straks eens rustig gekeken gaat worden of de backdoors ook te gebruiken zijn.

Als je nu niet allert bent, dan kan het wel een een drukke kerst gaan worden.
15-12-2021, 17:41 door Anoniem
Door Anoniem: De grote training voor de 'WEF upcoming outing'?
Wat is de threat grade? Er hangt iets in de lucht,
mensen. Men 'zoekt' naar een big vulner.
#sockpuppet


Moeten we nu allemaal in "de wef" geloven of hoe zit dat?

Ik heb geen last van rare "dromen" namelijk

Of is het een ander type spelletje
15-12-2021, 18:32 door Anoniem
@ de official debunkers alhier,

Professor Schwab van WEF waarchuwde voor een mogelijke grote cyberaanval en de eventuele desastreuze gevolgen hiervan. Dat men dit nieuwsfeit hier niet schijnt te hebben meegekregen of meent te moeten downplayen en ridiculiseren,
maakt niet dat het weggaat. Waarom moeten toch steeds zovelen het gepropageerde nieuws ondersteunen en verdedigen, zelfs in het ontkennen ervan? Waar zitten al die collaborateurs van de heersende macht en het gemanipuleerde massa media nieuws of manipulators der "diensten"?

Maar we zullen zien wie er in de nabije toekomst gelijk gaan krijgen. Wie het "echte spelletje" ziet, dat gespeeld wordt.
16-12-2021, 18:39 door Anoniem
Preliminary reports from Pingdom AB, a Swedish website monitoring company, show more than 63,000 websites are experiencing issues worldwide. At the same time, Downdetector reports users are experiencing problems with Amazon Web Services.

Er broeit dus degelijk wel iets.
17-12-2021, 09:32 door Anoniem
Door Anoniem: @ de official debunkers alhier,

Professor Schwab van WEF waarchuwde voor een mogelijke grote cyberaanval en de eventuele desastreuze gevolgen hiervan. Dat men dit nieuwsfeit hier niet schijnt te hebben meegekregen of meent te moeten downplayen en ridiculiseren,
maakt niet dat het weggaat. Waarom moeten toch steeds zovelen het gepropageerde nieuws ondersteunen en verdedigen, zelfs in het ontkennen ervan? Waar zitten al die collaborateurs van de heersende macht en het gemanipuleerde massa media nieuws of manipulators der "diensten"?

Maar we zullen zien wie er in de nabije toekomst gelijk gaan krijgen. Wie het "echte spelletje" ziet, dat gespeeld wordt.

Mooi verhaal. Ik waarschuw al jaren voor een mogelijke grote cyberaanval en de eventuele desastreuze gevolgen hiervan. Net zoals elke andere zichzelf respecterende security analist.
Bovendien hebben we de laatste jaren al te maken gehad met grote aanvallen:

- Stuxnet
- Eternal blue
- Citrix verhaal
- (Not)Petya
- Enz, enz

En nu dus log4j. Dus wat is je punt?
28-01-2022, 07:33 door SecOps
Stuxnet was niet groot maar juist heel gericht (tegen de centrifuges van Iran). Wel heel knap in elkaar gezet voor die tijd...
28-01-2022, 10:59 door Anoniem
Door Anoniem: De grote training voor de 'WEF upcoming outing'?
Wat is de threat grade? Er hangt iets in de lucht,
mensen. Men 'zoekt' naar een big vulner.
#sockpuppet

Het is maar goed dat we lui zoals jou hebben, die de WEF dwarsbomen zodat ze niet de wereldmacht grijpen.
Als ze echt zo machtig zijn, dan zijn ze toch niettafhankelijk van hackertjes die ergens een vunerabilitietje
in het WEB (WEB/WEF... bijna hetzelfde, toeval ?) vinden om de wereldmacht te kapen.
28-01-2022, 13:10 door Tintin and Milou
Door Anoniem: @ de official debunkers alhier,

Professor Schwab van WEF waarchuwde voor een mogelijke grote cyberaanval en de eventuele desastreuze gevolgen hiervan. Dat men dit nieuwsfeit hier niet schijnt te hebben meegekregen of meent te moeten downplayen en ridiculiseren,
maakt niet dat het weggaat. Waarom moeten toch steeds zovelen het gepropageerde nieuws ondersteunen en verdedigen, zelfs in het ontkennen ervan? Waar zitten al die collaborateurs van de heersende macht en het gemanipuleerde massa media nieuws of manipulators der "diensten"?

Maar we zullen zien wie er in de nabije toekomst gelijk gaan krijgen. Wie het "echte spelletje" ziet, dat gespeeld wordt.
Dit horen we ook al jaren, dus niets nieuws.

Wat complot denkers alleen als probleem hebben, ze hebben eigenlijk werkelijk geen idee, wat er nu gebeurt in de wereld.
Ze zijn bang en angstig, en proberen daarom antwoorden te vinden, die bij hun gedachte passen. Echter ze pakken er alleen maar uit, wat bij hun gedachte past. Dat het eigenlijk altijd over heel iets anders gaat, dat doet er niet toe.

Ik denk dat jouw post, daar ook weer een prachtig voorbeeld van is. Iemand die leeft in angst en daarom de meest vage complottheorie gebruik om zijn angst te verklaren.

Het is overduidelijk dat we nog jaren extra GGZ ruimte nodig gaan hebben.
30-01-2022, 08:43 door S.A.T.A.N. - Bijgewerkt: 30-01-2022, 08:50
Door Anoniem:
Door Anoniem: De grote training voor de 'WEF upcoming outing'?
Wat is de threat grade? Er hangt iets in de lucht,
mensen. Men 'zoekt' naar een big vulner.
#sockpuppet
Als je niet snapt waar het over gaat met je WEF, dan kan je ook gewoon je mond houden ;-)
Grappig dat 9/10 mensen die janken over de WEF nauwelijks enig benul hebben wat ze doen. Als ik voor elke reactie op internet hierover een euro kreeg, dan was ik nu multimiljonair geweest. ;-)

Wat heeft Windows Event Forwarding hier nou weer mee te maken?

https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection

Apache Log4j is a Java-based logging utility developed by the Apache Software Foundation!

https://cisomag.eccouncil.org/log4j-explained/
30-01-2022, 10:22 door Anoniem
Door T.J.:
Door Anoniem:
Door Anoniem: De grote training voor de 'WEF upcoming outing'?
Wat is de threat grade? Er hangt iets in de lucht,
mensen. Men 'zoekt' naar een big vulner.
#sockpuppet
Als je niet snapt waar het over gaat met je WEF, dan kan je ook gewoon je mond houden ;-)
Grappig dat 9/10 mensen die janken over de WEF nauwelijks enig benul hebben wat ze doen. Als ik voor elke reactie op internet hierover een euro kreeg, dan was ik nu multimiljonair geweest. ;-)

Wat heeft Windows Event Forwarding hier nou weer mee te maken?

https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection

Apache Log4j is a Java-based logging utility developed by the Apache Software Foundation!

https://cisomag.eccouncil.org/log4j-explained/
Bedoelt het World Economic Forum ernee. Of wel bait and switch kun je negeren.
Zelf meer voorstander van WAF dan WEF ;)

Anyway complimenten aan ieder die heeft geholpen dit ernstige lek snel in te dammen ijn zijn, haar infra.
Schade lijkt zeer beperkt te zijn gebleven al zullen er vast nog libraries zijn bij providers die niet gepatched zijn.

Het doet me wel beetje denken aan de Millennium Bug in dat er grote paniek was wereldwijd zelfs door non tech en nu het lek snel gedicht is hoor je verhalen dat het allemaal wel meeviel. Terwijl de realiteit natuurlijk is dat als de industrie niet snel had gehandeld in deze situatie en ook de Millennium Bug de schade niet te overzien was geweest.

Op naar de volgende crisis maar weer ? :)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.