1 事件背景
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。
相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。
我也紧急发布了两篇教程,给各位小伙伴支招,我之前发布的教程依然有效。
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
虽然,各位小伙伴按照教程一步一步操作能快速解决问题,但是很多小伙伴依旧有很多疑惑,不知其所以然。在这里我给大家详细分析并复现一下Log4j2漏洞产生的原因,纯粹是以学习为目的。
Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。
2 JNDI介绍
2.1 JNDI定义
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是Java中为命名和目录服务提供接口的API,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名称获取对象的属性,同时也可以操作属性。
2.2 JNDI架构
Java应用程序通过JNDI API访问目录服务,而JNDI API会调用Naming Manager实例化JNDI SPI,然后通过JNDI SPI去操作命名或目录服务其如LDAP, DNS,RMI等,JNDI内部已实现了对LDAP,DNS, RMI等目录服务器的操作API。其架构图如下所示:
2.3 JNDI核心API
| 类名 | 解释 |
|---|---|
| Context | 命名服务的接口类,由很多的name-to-object的健值对组成,可以通过该接口将健值对绑定到该类中,也可通过该类根据name获取其绑定的对象 |
| InitialContextNaming | (命名服务)操作的入口类,通过该类可对命名服务进行相关的操作 |
| DirContext | Directory目录服务的接口类,该类继承自Context,在Naming服务的基础上扩展了对于对象属性的绑定和获取操作 |
| InitialDirContext | Directory目录服务相关操作的入口类,通过该类可进行目录相关服务的操作 |
Java通过JNDI API去调用服务。例如,我们大家熟悉的odbc数据连接,就是通过JNDI的方式来调用数据源的。以下代码大家应该很熟悉:
<?xml version="1.0" encoding="UTF-8"?>
<Context>
<Resource name="jndi/person"
auth="Container"
type="javax.sql.DataSource"
username="root"
password="root"
driverClassName="com.mysql.jdbc.Driver"
url="jdbc:mysql://localhost:3306/test"
maxTotal="8"
maxIdle="4"/>
</Context>
在Context.xml文件中我们可以定义数据库驱动,url、账号密码等关键信息,其中name这个字段的内容为自定义。下面使用InitialContext对象获取数据源
Connection conn=null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
Context ctx=new InitialContext();
Object datasourceRef=ctx.lookup("java:comp/env/jndi/person"); //引用数据源
DataSource ds=(Datasource)datasourceRef;
conn = ds.getConnection();
//省略部分代码
...
c.close();
} catch(Exception e) {
e.printStackTrace();
} finally {
if(conn!=null) {
try {
conn.close();
} catch(SQLException e) { }
}
}
是不是很熟悉呢?JNDI的其他应用在此我就不多做介绍了,如果还不了解JNDI/RMI/LDAP等相关概念的小伙伴请自行百度一下。
5 源码分析
通过以上案例还原了攻击者利用Log4j的漏洞对目标程序进行攻击的完整过程,接下来分析一下Log4j的源码从而了解根本原因。其罪魁祸首是Log4j2 的MessagePatternConverter组件中的format()方法,Log4j在记录日志的时候会间接的调用该方法,具体源码如下:
从源码中我们可以发现该方法会截取 $ 和 { } 之间的字符串,将该字符作为查找对象的条件。如果字符是 jndi:rmi 这样的协议格式则进行JNDI方式的RMI调用,从而触发原生的RMI服务调用。具体调用位置在StrSubstitutor的substitute()方法:
private int substitute(LogEvent event, StringBuilder buf, int offset, int length, List<String> priorVariables) {
//此处省略部分代码
...
this.checkCyclicSubstitution(varName, (List)priorVariables);
((List)priorVariables).add(varName);
String varValue = this.resolveVariable(event, varName, buf, startPos, pos);
if (varValue == null) {
varValue = varDefaultValue;
}
//此处省略部分代码
...
}
上述代码中的resolveVariable()最终会调用InitialContext的lookup()方法:
protected String resolveVariable(LogEvent event, String variableName, StringBuilder buf, int startPos, int endPos) {
StrLookup resolver = this.getVariableResolver();
return resolver == null ? null : resolver.lookup(event, variableName);
}
通过断点调试,我们确实发现调用了RMI服务,下图所示:
最终恶意代码通过RMI加载完成以后,会调用javax.naming.spi.NamingManager的getObjectFactoryFromReference()方法加载恶意代码,也就是我们之前写的com.tom.example.log4j.HackedClassFactory类。首先会在尝试本地找,如果本地找不到会通过远程地址加载,也就是我们发布的下载服务,即http://127.0.0.1/example/classes.jar
加载远程代码之后,通过反射调用构造器创建攻击类的实例,而恶意代码编写在构造器中,所以在被攻击者的程序中间接执行了恶意代码。
看到这里,小伙伴们是不是有种和SQL注入如出一辙的感觉。
5 风险条件
该漏洞需要满足以下条件才有可能被攻击:
1、首先使用的是Logj4j2的漏洞版本,即 <= 2.14.1的版本。
2、攻击者有机会注入恶意代码,例如系统中记录的日志信息没有任何特殊过滤。
3、攻击者需要发布RMI远程服务和恶意代码下载服务。
4、被攻击者的网络可以访问到RMI服务和恶意代码下载服务,即被攻击者的服务器可以随意访问公网,或者在内网发布过类似的危险服务。
5、被攻击者在JVM中开启了RMI/LDAP等协议的truseURLCodebase属性为ture。
以上就是我对Log4j2 RCE漏洞的完整复现及根本原因分析,当然最高效的方式还是关闭Lookup相关功能。虽然,官方也在紧急修复,但涉及到软件升级存在一定风险,还有可能需要大量的重复测试工作。
我在之前紧急发布的教程依然有效,大家可以继续参照用最高效可靠的方式解决问题。
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
关注微信公众号『 Tom弹架构 』回复“Spring”可获取完整源码。
本文为“Tom弹架构”原创,转载请注明出处。技术在于分享,我分享我快乐!如果您有任何建议也可留言评论或私信,您的支持是我坚持创作的动力。关注微信公众号『 Tom弹架构 』可获取更多技术干货!
原创不易,坚持很酷,都看到这里了,小伙伴记得点赞、收藏、在看,一键三连加关注!如果你觉得内容太干,可以分享转发给朋友滋润滋润!
