Pentests et Log4J : comment exploiter un système vulnérable

Trop long; Pour lire

Dans cet article, nous testons un système vulnérable et montrons comment un shell distant peut être obtenu à l'aide d'un exploit open source Log4j accessible à tous. Introduction Cette vulnérabilité critique, étiquetée CVE-2021-44228, affecte un grand nombre de clients, car le composant Apache Log4j est largement utilisé dans les logiciels commerciaux et open source. De plus, les attaquants de ransomwares militarisent l'exploit Log4j pour augmenter leur portée à plus de victimes à travers le monde. Notre démonstration est fournie à des fins éducatives à un public plus technique dans le but de mieux faire connaître le fonctionnement de cet exploit. Raxis estime qu'une meilleure compréhension de la composition des exploits est le meilleur moyen pour les utilisateurs d'apprendre à combattre les menaces croissantes sur Internet.