đŸ§” Uma thread de quase 10 anos de acontecimentos que poderiam ter sido previstos e evitados.

SumĂĄrio

Sobre

Em 9 de dezembro, uma grave vulnerabilidade com possibilidade de exploração remota no Log4J da Apache foi publicada, uma biblioteca de log muito utilizada em aplicaçÔes Java. A vulnerabilidade afeta uma ampla gama de aplicaçÔes.

A vulnerabilidade possibilita que qualquer invasor possa injetar texto em mensagens de log ou parĂąmetros de mensagem de log em logs de servidor que carregam cĂłdigo de um servidor remoto; O servidor de destino executarĂĄ esse cĂłdigo por meio de chamadas para o Java Naming and Directory Interface (JNDI). O JNDI faz interface com uma sĂ©rie de serviços de rede, incluindo o protocolo Lightweight Directory Access Protocol (LDAP), Domain Name Service (DNS), Java’s Remote Interface (RMI) e o Common Object Request Broker (CORBA). Sendo a forma mais comum de exploração detectada via LDAP, DNS e RMI, usando uma URL marcada para esses serviços redirecionados para um ser externo.

ReflexĂŁo

Os elos

AplicaçÔes jamais deveriam executar JDNI lookups com dados ou origens não confiåveis.

Alvaro Munoz & Oleksandr Mirosh @BlackHat, 2016. 🎯

Nossas falhas

Demorou 5 anos para alguem se dar conta ou simplesmente tropeçar no risco.

Aí surgem duas questÔes?

  • Por quĂȘ desenvolvedores nunca se deram conta disso?
  • Por quĂȘ nĂłs, profissionais de segurança tambĂ©m nĂŁo sabĂ­amos disso?

E concordo com a opiniĂŁo do Alvaro:

Sim, nĂłs falhamos em nossa missĂŁo. E falhamos todos os dias. Por quĂȘ?

LiçÔes Aprendidas

  • Assim como dito no vĂ­deo, e que sempre tento incentivar meus pares e liderados, Ă© que devemos saber com as aplicaçÔes sĂŁo construĂ­das, ou pelo menos ter algum tipo de experĂȘncia com desenvolvimento e arquitetura de software.

  • Evento nĂŁo Ă© "oba-oba". Durante as conferĂȘncias, devemos nos manter focados e ter ciĂȘncia do nossa missĂŁo como profissionais. Esta vulnerabilidade passou em branco pela comunidade por 5 anos, mesmo sendo “briefada” em 2016 na BlackHat.

E Ă© isso, keep hacking, learning and stay humble.

đŸ‘Ÿ

ReferĂȘncias