相信大家這兩天應(yīng)該被這么一條新聞刷屏了:
這個(gè)漏洞到底是怎么回事首量?
核彈級壮吩,真的有那么厲害嗎?
怎么利用這個(gè)漏洞呢加缘?
我看了很多技術(shù)分析文章鸭叙,都太過專業(yè),很多非Java技術(shù)椉鸷辏或者不搞安全的人只能看個(gè)一知半解沈贝,導(dǎo)致大家只能看個(gè)熱鬧,對這個(gè)漏洞的成因勋乾、原理宋下、利用方式、影響面理解的不到位市俊。
這篇文章杨凑,我嘗試讓所有技術(shù)相關(guān)的朋友都能看懂:這個(gè)注定會(huì)載入網(wǎng)絡(luò)安全史冊上的漏洞滤奈,到底是怎么一回事摆昧!
log4j2
不管是什么編程語言,不管是前端后端還是客戶端蜒程,對 打日志 都不會(huì)陌生绅你。
通過日志,可以幫助我們了解程序的運(yùn)行情況昭躺,排查程序運(yùn)行中出現(xiàn)的問題忌锯。
在Java技術(shù)棧中,用的比較多的日志輸出框架主要是 log4j2 和 logback领炫。
今天討論的主角就是log4j2偶垮。
我們經(jīng)常會(huì)在日志中輸出一些變量,比如:
logger.info("client ip: {}", clientIp)
現(xiàn)在思考一個(gè)問題:
假如現(xiàn)在想要通過日志輸出一個(gè)Java對象,但這個(gè)對象不在程序中似舵,而是在其他地方脚猾,比如可能在某個(gè)文件中,甚至可能在網(wǎng)絡(luò)上的某個(gè)地方砚哗,這種時(shí)候怎么辦呢龙助?
log4j2的強(qiáng)大之處在于,除了可以輸出程序中的變量蛛芥,它還提供了一個(gè)叫 Lookup 的東西提鸟,可以用來輸出更多內(nèi)容:
lookup,顧名思義就是查找仅淑、搜索的意思称勋,那在log4j2中,就是允許在輸出日志的時(shí)候涯竟,通過某種方式去查找要輸出的內(nèi)容铣缠。
lookup相當(dāng)于是一個(gè)接口,具體去哪里查找昆禽,怎么查找蝗蛙,就需要編寫具體的模塊去實(shí)現(xiàn)了,類似于面向?qū)ο缶幊讨卸鄳B(tài)那意思醉鳖。
好在捡硅,log4j2已經(jīng)幫我們把常見的查找途徑都進(jìn)行實(shí)現(xiàn)了:
具體每一個(gè)的意思,這里就不詳述了盗棵,這不是本文的重點(diǎn)壮韭。
JNDI
主要來看其中那個(gè)叫JNDI的東西:
JNDI即 Java Naming and Directory Interface(JAVA命名和目錄接口),它提供一個(gè)目錄系統(tǒng)纹因,并將服務(wù)名稱與對象關(guān)聯(lián)起來喷屋,從而使得開發(fā)人員在開發(fā)過程中可以使用名稱來訪問對象。
看不懂瞭恰?看不懂就對了屯曹!
簡單粗暴理解:有一個(gè)類似于字典的數(shù)據(jù)源,你可以通過JNDI接口惊畏,傳一個(gè)name進(jìn)去恶耽,就能獲取到對象了。
那不同的數(shù)據(jù)源肯定有不同的查找方式颜启,所以JNDI也只是一個(gè)上層封裝偷俭,在它下面也支持很多種具體的數(shù)據(jù)源。
LDAP
繼續(xù)把目光聚焦缰盏,咱們只看這個(gè)叫 LDAP 的東西涌萤。
LDAP即 Lightweight Directory Access Protocol(輕量級目錄訪問協(xié)議)淹遵,目錄是一個(gè)為查詢、瀏覽和搜索而優(yōu)化的專業(yè)分布式數(shù)據(jù)庫负溪,它呈樹狀結(jié)構(gòu)組織數(shù)據(jù)合呐,就好象Linux/Unix系統(tǒng)中的文件目錄一樣。目錄數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫不同笙以,它有優(yōu)異的讀性能淌实,但寫性能差,并且沒有事務(wù)處理猖腕、回滾等復(fù)雜功能拆祈,不適于存儲修改頻繁的數(shù)據(jù)。所以目錄天生是用來查詢的倘感,就好像它的名字一樣放坏。
看不懂?看不懂就對了老玛!
這個(gè)東西用在統(tǒng)一身份認(rèn)證領(lǐng)域比較多淤年,但今天也不是這篇文章的重點(diǎn)。你只需要簡單粗暴理解:有一個(gè)類似于字典的數(shù)據(jù)源蜡豹,你可以通過LDAP協(xié)議麸粮,傳一個(gè)name進(jìn)去,就能獲取到數(shù)據(jù)镜廉。
漏洞原理
好了弄诲,有了以上的基礎(chǔ),再來理解這個(gè)漏洞就很容易了娇唯。
假如某一個(gè)Java程序中齐遵,將瀏覽器的類型記錄到了日志中:
String userAgent = request.getHeader("User-Agent");
logger.info(userAgent);
網(wǎng)絡(luò)安全中有一個(gè)準(zhǔn)則:不要信任用戶輸入的任何信息。
這其中塔插,User-Agent 就屬于外界輸入的信息梗摇,而不是自己程序里定義出來的。只要是外界輸入的想许,就有可能存在惡意的內(nèi)容伶授。
假如有人發(fā)來了一個(gè)HTTP請求,他的 User-Agent 是這樣一個(gè)字符串:
${jndi:ldap://127.0.0.1/exploit}
接下來伸刃,log4j2將會(huì)對這行要輸出的字符串進(jìn)行解析谎砾。
首先,它發(fā)現(xiàn)了字符串中有 ${} 捧颅,知道這個(gè)里面包裹的內(nèi)容是要單獨(dú)處理的。
進(jìn)一步解析较雕,發(fā)現(xiàn)是JNDI擴(kuò)展內(nèi)容碉哑。
再進(jìn)一步解析挚币,發(fā)現(xiàn)了是LDAP協(xié)議,LDAP服務(wù)器在127.0.0.1扣典,要查找的key是exploit妆毕。
最后,調(diào)用具體負(fù)責(zé)LDAP的模塊去請求對應(yīng)的數(shù)據(jù)贮尖。
如果只是請求普通的數(shù)據(jù)笛粘,那也沒什么,但問題就出在還可以請求Java對象湿硝!
Java對象一般只存在于內(nèi)存中薪前,但也可以通過序列化的方式將其存儲到文件中,或者通過網(wǎng)絡(luò)傳輸关斜。
如果是自己定義的序列化方式也還好示括,但更危險(xiǎn)的在于:JNDI還支持一個(gè)叫命名引用(Naming References)的方式,可以通過遠(yuǎn)程下載一個(gè)class文件痢畜,然后下載后加載起來構(gòu)建對象垛膝。
PS:有時(shí)候Java對象比較大,直接通過LDAP這些存儲不方便丁稀,就整了個(gè)類似于二次跳轉(zhuǎn)的意思吼拥,不直接返回對象內(nèi)容,而是告訴你對象在哪個(gè)class里线衫,讓你去那里找扔罪。
注意,這里就是核心問題了:JNDI可以遠(yuǎn)程下載class文件來構(gòu)建對象M叭浮?蠼汀!矗积。
危險(xiǎn)在哪里全肮?
如果遠(yuǎn)程下載的URL指向的是一個(gè)黑客的服務(wù)器,并且下載的class文件里面藏有惡意代碼棘捣,那不就完?duì)僮恿藛幔?/p>
還沒看懂辜腺?沒關(guān)系,我畫了一張圖:
這就是鼎鼎大名的JNDI注入攻擊乍恐!
其實(shí)除了LDAP评疗,還有RMI的方式,有興趣的可以了解下茵烈。
JNDI 注入
其實(shí)這種攻擊手法不是這一次出現(xiàn)了百匆,早在2016的blackhat大會(huì)上,就有大佬披露了這種攻擊方式呜投。
回過頭來看加匈,問題的核心在于:
Java允許通過JNDI遠(yuǎn)程去下載一個(gè)class文件來加載對象存璃,如果這個(gè)遠(yuǎn)程地址是自己的服務(wù)器,那還好說雕拼,如果是可以被外界來指定的地址纵东,那就要出大問題!
前面的例子中啥寇,一直用的127.0.0.1來代替LDAP服務(wù)器地址偎球,那如果輸入的User-Agent字符串中不是這個(gè)地址,而是一個(gè)惡意服務(wù)器地址呢辑甜?
影響規(guī)模
這一次漏洞的影響面之所以如此之大衰絮,主要還是log4j2的使用面實(shí)在是太廣了。
一方面現(xiàn)在Java技術(shù)棧在Web栈戳、后端開發(fā)岂傲、大數(shù)據(jù)等領(lǐng)域應(yīng)用非常廣泛,國內(nèi)除了阿里巴巴子檀、京東镊掖、美團(tuán)等一大片以Java為主要技術(shù)棧的公司外,還有多如牛毛的中小企業(yè)選擇Java褂痰。
另一方面亩进,還有好多像kafka、elasticsearch缩歪、flink這樣的大量中間件都是用Java語言開發(fā)的归薛。
在上面這些開發(fā)過程中,大量使用了log4j2作為日志輸出匪蝙。只要一個(gè)不留神主籍,輸出的日志有外部輸入混進(jìn)來,那直接就是遠(yuǎn)程代碼執(zhí)行RCE逛球,滅頂之災(zāi)千元!
修復(fù)
新版的log4j2已經(jīng)修復(fù)了這個(gè)問題,大家趕緊升級颤绕。
下面是log4j2官網(wǎng)中關(guān)于JNDI lookup的說明:
我通過搜索引擎找到了緩存的12月10號前的快照幸海,大家對比一下,比起下面這個(gè)緩存奥务,上面那一版多了哪些東西物独?
答案是:修復(fù)后的log4j2在JNDI lookup中增加了很多的限制:
1.默認(rèn)不再支持二次跳轉(zhuǎn)(也就是命名引用)的方式獲取對象
2.只有在log4j2.allowedLdapClasses列表中指定的class才能獲取。
3.只有遠(yuǎn)程地址是本地地址或者在log4j2.allowedLdapHosts列表中指定的地址才能獲取
以上幾道限制氯葬,算是徹底封鎖了通過打印日志去遠(yuǎn)程加載class的這條路了挡篓。
最后,各位Java小伙伴兒們溢谤,你們寫的程序中有用到log4j2嗎瞻凤,有沒有某個(gè)地方的輸出憨攒,有外部的參數(shù)混進(jìn)來呢世杀?
趕緊檢查檢查哦阀参!
【影響范圍】
Apache log4j2.2.0 - 2.14.1版本均受影響。
【解決方案】
Apache 官方已發(fā)布補(bǔ)丁瞻坝,官方補(bǔ)丁: log4j-2.16.0-rc1
1蛛壳、排查應(yīng)用是否引入了 Apache log4j-core Jar 包,若存在依賴引入所刀,且在受影響版本范圍內(nèi)衙荐,則可能存在漏洞影響。請盡快升級 Apache Log4j2 所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本浮创,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2忧吟、升級已知受影響的應(yīng)用及組件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
3斩披、可升級 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上溜族,可以在一定程度上限制 JNDI 等漏洞利用方式。
4垦沉、https://github.com/apache/logging-log4j2
或者:
1)添加jvm啟動(dòng)參數(shù)-Dlog4j2.formatMsgNoLookups=true煌抒;
2)在應(yīng)用classpath下添加log4j2.component.properties配置文件,文件內(nèi)容為log4j2.formatMsgNoLookups=true厕倍;
3)JDK使用11.0.1寡壮、8u191、7u201讹弯、6u211及以上的高版本况既;
4)部署使用第三方防火墻產(chǎn)品進(jìn)行安全防護(hù)蔽挠。
