使用 Skywalking 修复 Log4j2 漏洞

2,519 阅读1分钟

背景

著名的 Log4j2 漏洞,相信已经让很多程序员通宵了。除了升级、禁用 msgLookup,在这里提供另一种办法:使用 Skywalking 绕过漏洞方法。

漏洞代码

漏洞产生的原因,在于 Log4j2 允许 JNDI 任意连接服务器,在 org.apache.logging.log4j.core.lookup.JndiLookup#lookup 中,代码如下:

@Override
public String lookup(final LogEvent event, final String key) {
    if (key == null) {
        return null;
    }
    final String jndiName = convertJndiName(key);
    try (final JndiManager jndiManager = JndiManager.getDefaultManager()) {
        return Objects.toString(jndiManager.lookup(jndiName), null);
    } catch (final NamingException e) {
        LOGGER.warn(LOOKUP, "Error looking up JNDI resource [{}].", jndiName, e);
        return null;
    }
}

该代码只有在 log.info("{}", "${jndi:xxxx/xx}") 时会触发。

堵上漏洞

众所周知 Skywalking 可以对任意代码进代码,实现拦截、修改返回值。下面就针对该lookup 方法进行拦截。

1)添加代理

public class JndiLookupActivation extends ClassInstanceMethodsEnhancePluginDefine {

    private static final String INTERCEPT_CLASS = "org.apache.skywalking.apm.toolkit.activation.log.log4j.v2.x.jndi.JndiLookupMethodInterceptor";
    private static final String ENHANCE_CLASS = "org.apache.logging.log4j.core.lookup.JndiLookup";
    private static final String ENHANCE_METHOD = "lookup";

    @Override
    public ConstructorInterceptPoint[] getConstructorsInterceptPoints() {
        return new ConstructorInterceptPoint[0];
    }

    @Override
    public InstanceMethodsInterceptPoint[] getInstanceMethodsInterceptPoints() {
        return new InstanceMethodsInterceptPoint[] {
            new InstanceMethodsInterceptPoint() {
                @Override
                public ElementMatcher<MethodDescription> getMethodsMatcher() {
                    return named(ENHANCE_METHOD);
                }

                @Override
                public String getMethodsInterceptor() {
                    return INTERCEPT_CLASS;
                }
                
                @Override
                public boolean isOverrideArgs() {
                    return true;
                }
            }
        };
    }

    @Override
    protected ClassMatch enhanceClass() {
        return byName(ENHANCE_CLASS);
    }
}

2)添加拦截器

public class JndiLookupMethodInterceptor implements InstanceMethodsAroundInterceptor {


    @Override
    public void beforeMethod(EnhancedInstance objInst, Method method, Object[] allArguments, Class<?>[] argumentsTypes,
                             MethodInterceptResult result) throws Throwable {
        // 二话不说直接返回 null 就是了
        result.defineReturnValue(null);
    }

    @Override
    public Object afterMethod(EnhancedInstance objInst, Method method, Object[] allArguments, Class<?>[] argumentsTypes,
                              Object ret) throws Throwable {
        return ret;
    }

    @Override
    public void handleMethodException(EnhancedInstance objInst, Method method, Object[] allArguments,
                                      Class<?>[] argumentsTypes, Throwable t) {
    }

}

最后别忘了在 skywalking-plugin.def 中加上。

至此漏洞就被堵上了,绝对执行不到问题代码,并且不需要完全禁用 msgLookup 特性。

效果测试

开启 Skywalking 前:


log.info("{}", "${jndi:xxxx/sss}");

// 日志内容
2021-12-11 13:27:17,340 Log4j2-TF-1-AsyncLogger[AsyncContext@18b4aac2]-1 WARN Error looking up JNDI resource [java:comp/env/xxxx/sss]. javax.naming.NoInitialContextException: Need to specify class name in environment or system property, or as an applet parameter, or in an application resource file:  java.naming.factory.initial
	at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:673)
        ...

开启 Skywalking 后:


log.info("{}", "${jndi:xxxx/sss}");

// 日志内容
[INFO][2021-12-11 13:29:41.128][arthas-command-execute][xxx.log.LogService] ${jndi:xxxx/sss}

Problem Solved!

由于我司已经完全部署了 Skywalking,所以打包新的 Skywalking Agent 后,线上的服务只需要重启即可应用最新 Agent,不需要升级 log4j 库再发布部署,可以节省大量时间。

当然还是推荐升级 log4j 库来彻底解决问题,本文只是提供一种思路。Skywalking 不仅是分布式追踪工具,也可以用来热修复代码,减少重复工作。