长亭百川云 - 文章详情

漏洞复现:《CVE-2021-44228:Apache Log4j2 远程代码执行》

深潜之眼

123

2024-07-13

0x00 前言

    

    2021年12月9日,“网安仔的不眠之夜”

   这个星期的安全圈 “躁” 起来了,先是在野0day《Grafana 未授权任意文件读取》被爆出,随后又出现了《Apache Log4j2 远程代码执行》;后者的传播速度之快、利用门槛之低、影响范围之广,使其在业内堪称 “核弹级” 漏洞。

0x01 漏洞描述

    2021年12月9日,Apache Log4j 的远程代码执行漏洞细节被公开,大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。该漏洞一旦被攻击者利用会造成严重危害

0x02 漏洞编号

CVE-2021-44228

0x03 影响范围

    Apache Log4j 2.x <=  2.15.0-rc2(据悉,官方rc1补丁有被绕过的风险)

0x04 漏洞复现

   此次漏洞的命令执行原理和 fastjson 一样,都存在远程加载的步骤。其主要问题出在 Log4j2 打印日志的时候对字符串 ${ } 处理不当。

    环境搭建:

    此次复现的环境为 Tomcat 9.0.41、Jdk 1.8( Jdk1.8.191以上默认不支持ldap协议,对于高版本的Jdk,则需要目标存在一定的依赖才行。)

   接着,在目标服务器部署一个 Tomcat 服务(源自 https://www.t00ls.cc/thread-63695-1-1.html)

    攻击步骤:

    1. 首先写一个恶意类(这里的代码是弹出计算器,Exp不便展示)

    2. 启动一个 LDAP 服务监听端口(https://github.com/0x727/JNDIExploit)

    3. 抓包并在输入框填入攻击代码,接着拦截到包后,给包添加 cmd:(命令)参数并放包

    复现成功。

0x05 内部自查

1. 项目依赖版本检测

检测pom依赖版本是否低于 2.15.0

`<dependencies>`  `<dependency>`    `<groupId>org.apache.logging.log4j</groupId>`    `<artifactId>log4j-api</artifactId>`    `<version>2.15.0</version>`  `</dependency>`  `<dependency>`    `<groupId>org.apache.logging.log4j</groupId>`    `<artifactId>log4j-core</artifactId>`    `<version>2.15.0</version>`  `</dependency>``</dependencies>`

检测gradle依赖版本是否低于 2.15.0

`dependencies {`  `compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0'`  `compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0'``}`

检测Ivy依赖版本是否低于 2.15.0

`<dependencies>`  `<dependency org="org.apache.logging.log4j" name="log4j-api" rev="2.15.0" />`  `<dependency org="org.apache.logging.log4j" name="log4j-core" rev="2.15.0" />``</dependencies>`

检测SBT依赖版本是否低于 2.15.0

`libraryDependencies += "org.apache.logging.log4j" % "log4j-api" % "2.15.0"``libraryDependencies += "org.apache.logging.log4j" % "log4j-core" % "2.15.0"`

若没有使用上述工具,那么可以全局搜索项目中是否存在 log4j 的相关 jar 包,并通过 jar 包中的 /META-INF/MANIFEST.MF 文件查看 log4j 的版本。

      2. 日志/流量排查

        (1. 排查日志或者解码后完整的请求数据包中是否存在${jndi:关键字。

     (2. 排查日志是否存在相关堆栈报错,堆栈里是否有JndiLookup、ldapURLContext、getObjectFactoryFromReference等与 jndi 调用相关的堆栈信息。

0x06 修复建议

        1. 通用修补建议

          升级到最新版本 2.15.0-rc2 :

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

       2. 临时修补建议

`1. 设置JVM启动参数-Dlog4j2.formatMsgNoLookups=true。``2. 尽量使用JDK 版本大于11.0.1、8u191、7u201、6u211,需要注意的是,即使是使用了 JDK 高版本也不能完全保证安全,依然存在本地绕过的情况。``3. 限制不必要的业务访问外网。``4. 采用 rasp 对 lookup 的调用进行阻断。``5. 采用 waf 对请求流量中的 ${jndi 进行拦截。`

        参考链接:https://mp.weixin.qq.com/s/p2X1gu-rbiI3FZwteErnkQ

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2