Dangerous usage of JNDI

Transcript

1. Dangerous usage of JNDI @okuken3 2021.12.21 第14回 初心者のためのセキュリティ勉強会

2. == CAUTION (Disclaimer) == ▪本資料の内容は、ローカル環境で個人的に行った検証の結果です JNDIの危険な使い方、具体的には、信頼できない値をJNDI Lookupに渡す実装が行われた場合に、どのような内部処理を経て RCEが成立するのかを把握し、チェックや対策に役立てることを目的として、自身のローカル環境で個人的に検証を行いまし た。本内容を共有する目的も同様であり、悪用を助長するような意図は一切ないことをあらかじめご認識おきください。な お、悪用の意図がない場合であっても、自身の管理下にないシステムに対して管理者の許可なく検証行為を行うことは法令違

   反に当たる可能性もあり、行わないようにご注意ください。 ▪網羅的な内容ではありません 本資料で記載した攻撃手法を全て防いだ場合でも、記載以外の既知の手法はもちろん、少し捻られたり、新たな手法が発見さ れる可能性も大いにあるため、万全な対策とは言えません。信頼できない値をJNDI Lookupに渡さない、これが対策の原則に なるかと思います。また、昨今話題の、ライブラリ経由で意図せずJNDIの危険な使い方を行っているケースでは、然るべき発 行元からの情報を元に、バージョンアップ等の適切な対策を実施いただければと思います。 ▪敢えて既知の脆弱性が存在するバージョンを使用しています 本資料と同様の検証をご自身で実施される場合は、自身の管理下のサンドボックス環境で実施するなど細心の注意を払った上 で、自己責任で行ってください。脆弱なシステムを動かすことで思わぬ攻撃の被害にあう可能性があります。 ▪個人の見解です 記載の内容はあくまで個人の検証内容および見解であり、所属組織とは一切関係ありません。

3. Test Environment Vulnerable Server: https://github.com/okuken/sectest_java 　- Spring Boot 2.6.1 *use

   spring-boot-starter-web 　- Log4j 2.14.1 *CVE-2021-44228 　- Java 　　- 8u112 *https://www.oracle.com/java/technologies/javase/8u121-relnotes.html#notes-8u121 　　- 8u181 *CVE-2018-3149 　　- 8u191 Attacker Server (PoC): https://github.com/pimps/JNDI-Exploit-Kit

4. ※ It’s for illustration purpose. (not actual code) Flow Vulnearable

   Server 127.0.0.1:8080 Attacker Server (PoC) [RMI] 127.0.0.1:10990 [LDAP] 127.0.0.1:13890 [HTTP] 127.0.0.1:8180 Attacker ①HTTP Request ②LDAP Lookup ③Response (javaCodeBase is URL of Attacker HTTP Server) ④HTTP Request ⑤Response(.class) ⑥

5. Java 8u112 - RMI [Attacker Server (PoC)] [Vulnerable Server] ...

6. Java 8u112 - LDAP [Attacker Server (PoC)] [Vulnerable Server] ...

   ...

7. Java 8u181 - RMI [Attacker Server (PoC)] [Vulnerable Server] ...

   NO calc

8. Java 8u181 - LDAP [Attacker Server (PoC)] [Vulnerable Server] ...

9. Java 8u191 - LDAP [Attacker Server (PoC)] [Vulnerable Server] NO

   calc

10. Flow -bypass with EL- Vulnearable Server 127.0.0.1:8080 Attacker Server (PoC)

    [RMI] 127.0.0.1:10990 Attacker ①HTTP Request ②RMI Lookup ③Response (crafted ResourceRef *use javax.el.ELProcessor ) ④

11. Java 8u191 – RMI(bypass with EL) [Attacker Server (PoC)] [Vulnerable

    Server]

12. Flow -serialized payload- Vulnearable Server 127.0.0.1:8080 Attacker Server (PoC) [LDAP]

    127.0.0.1:13890 Attacker ①HTTP Request ②LDAP Lookup ③Response (serialized payload *generated by ysoserial ) ④

13. Java 8u191 - LDAP(serialized payload) *add Apache Commons Collections 4.0

    to classpath [Attacker Server (PoC)] [Vulnerable Server] ...

14. Demo

15. Reference ▪ Log4j, CVE-2021-44228 - https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228 - https://logging.apache.org/log4j/2.x/security.html#Older_.28discredited.29_mitigation_measures - https://www.lunasec.io/docs/blog/log4j-zero-day/

    - https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/ ▪ JNDI, Deserialization - https://www.veracode.com/blog/research/exploiting-jndi-injections-java - https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP- Manipulation-To-RCE.pdf - https://cheatsheetseries.owasp.org/assets/Deserialization_Cheat_Sheet_GOD16Deserialization.pdf ▪ PoC - https://github.com/okuken/sectest_java - https://github.com/pimps/JNDI-Exploit-Kit - https://github.com/frohoff/ysoserial