Une règle fail2ban contre la vuln log4j
Si vous êtes encore en train de lutter avec la faille log4j, il y a des tas de techniques pour parer l’attaque comme vous pouvez le lire ici ou grâce à Crowdsec. Mais même si vous avez tout patché et que vous ne risquez plus rien, il y a probablement des tas de rigolos qui tentent quand même leur chance. Et ça pourrit vos logs.
La meilleure solution serait donc de bannir toutes les IPs qui tentent d’exploiter cette vulnérabilité.
Jay Caines-Gooby a mis en ligne sur son site une règle fail2ban qui détecte et bannit immédiatement les IPs des affreux qui jouent avec log4j.
Pour cela, ajoutez la règle suivante dans /etc/fail2ban/jail.local
[log4j-jndi] maxretry = 1 enabled = true port = 80,443 logpath = /path/to/your/*access.log
Puis créez le fichier
`/etc/fail2ban/filter.d/log4j-jndi.conf`
et mettez y la définition regex suivante :
[Definition] failregex = (?i)^<host> .* ".*$.*(7B|{).*(lower:)?.*j.*n.*d.*i.*:.*".*?$ </host>
Et voilà !
Merci à Henri pour l’info et si vous voulez suivre les discussions sur cette règle Fail2Ban, le gist du code est ici.
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).