漏洞描述

Apache Log4j是美国阿帕奇（Apache）软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本.

CVE编号

CVE- 2019-12409

漏洞威胁等级

高危

影响范围

1.2.4 <= Apache Log4j <= 1.2.17(最新版)

简单分析

其实早在Apache Log4j 2.8.2时代就存在反序列化远程代码执行漏洞(CVE-2017-5645),当时触发的漏洞类为org.apache.logging.log4j.core.net.server.TcpSocketServer,到了Apache Log4j 1.2.X时代,漏洞类变为org.apache.log4j.net.SocketServer

大致原理和CVE-2017-5645类似,只需要找到可以利用的gadget即可触发.由于是socket协议,这里我使用nc发送序列化文件到其靶机端口,最终成功触发漏洞

修复建议

1.升级到Apache Log4j 2系列最新版
2.禁止将该类所开启的socket端口暴露到互联网

时间轴

[0] 2019/12/20 NVD发布该漏洞
[1] 2019/12/24 亚信安全网络攻防实验室研究并复现该漏洞发布漏洞预警

Reference