log4jとは

Java言語でWebアプリケーションやシステムを構築する際のロガーライブラリである。
Apache財団というOSSを支援する団体が提供・メンテナンスをしている。
導入も容易でかつ設定ファイル次第では細かなログ設定が可能となっており、日本以外にも世界中のシステム内で利用されている¹。

原因

文字列を出力するログの機能がなぜ問題になっているのかと言うと、
log4j2は他のログライブラリと違い、文字列の中を確認し、特定の文字列の場合は、変数に置き換える機能がある。(lookupというらしい)

上記だけなら問題ないのだが、今回悪用されているのはJdni Lookupという仕組みであり、変数をネットワーク越しに検索する仕組みである。
検索して見つけた値は、サーバ内で実行されるため、任意のプログラムをサーバ内で実行することが可能というわけである。

仕組み

一例ではありますが、仕組みを図で表してみました。

⓪ 前提²

• ユーザが入力した文字列をそのままログ出力するようなシステム
• システムプロパティのlog4j2.formatMsgNoLookupsが無効になっていること
• システムプロパティのcom.sun.jndi.ldap.object.trustURLCodebaseが有効になっていること

① 攻撃(任意)コードの注入

チャットなどログに入力値がそのまま出力される機能に対して、任意のコードを入力します。

② 中間サーバへアクセス

サーバ(Minecraft)はJndi Lookup機能にて、変数を攻撃者が用意した中継サーバに検索しに行きます。
中継サーバは、さらに攻撃者が用意したWebサーバへリダイレクトします。

③ Webサーバへリダイレクト

Webサーバではリクエストパスに記載されている値に該当する任意のプログラムファイルを返却します。Javaの場合は.classファイルでしょう。

④ 悪意のあるプログラムの実行

.classファイルに記載された内容をサーバが実行します。ここまで来てしまうと何をされるか分かったもんじゃありません。

検証

上記の仕組みを利用し、ローカル環境上にて脆弱性の検証を行いました。

• 利用環境(OS)：MacBook
• Mincraft³(左上)：Eclipse 2021-03 (4.19.0)
• 中継サーバ(右上)：marshalsec.jndi.LDAPRefServer
• Webサーバ(右下)：PythonのHTTP.Serverモジュール
• 悪意のあるプログラム(左下)：サーバ内ある(と想定)Calculator.app(電卓)を起動

対策

この脆弱性はCVE-2021-44228と定義されました。記事の内容を要約すると。

• log4j-api および log4j-coreのバージョンを2.15.0にする
• システムプロパティのlog4j2.formatMsgNoLookupsを有効にする
• システムプロパティのcom.sun.jndi.ldap.object.trustURLCodebaseを無効にする
• クラスパスからJndiLookupクラスを削除する

log4jを使わないようシステム改修する方法は現実的ではないと思いますので、いずれかの方法をとって対策する必要があります。

マイクラで遊んでいる子ども達、もしくは上記に関わるサーバ運営の方。
早急に対応の程よろしくお願い致します。

まとめ

ここまで熱を入れて記事を書くことになると思いませんでした。
Javaを愛するIT講師として、ITエンジニアを育成するものとして、この騒動は早く収まって安心して授業できるといいなぁ
(「だからJavaは..」とか言われたくないな..)