Apache Log4jの脆弱性(CVE-2021-44228)について思うこと
日本時間で金曜日という最悪のタイミングで話題となり、かなり広範囲で利用されているJavaのライブラリであるApache Log4jの脆弱性について思ったことを記載したいと思います。原理や対応方法等について述べる記事ではなく、リンクの紹介のみに留めておきます。
【注意】
私個人の観測範囲内での情報で記載しています。
不確定な情報も多いので対策などは公式のアナウンスを確認してください。
なお、情報量が追い切れていません。
Log4jの脆弱性について
既にスキャンツールにも取り込まれており、スキャンは広く観測されています。攻撃のリクエストも難読化されたパターンが出ており、WAF等をバイパスしようとしているみたいです。
※勉強になる素晴らしい解説記事が出ておりました。
難読化というのは正確ではないため削除しました。(12/18 修正)
参考:Log4jで話題になったWAFの回避/難読化とは何か – WAF Tech Blog」
脆弱性の詳細や対策については、「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (jpcert.or.jp)」を参照してください。
公式のアナウンスは以下です。随時情報が更新されており、追記時点で2.17.0が最新版となります。(12/18 追記)
Log4j – Apache Log4j Security Vulnerabilities
以下のサイトは非常に良くまとまっています。(12/13 追記)
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた
自社で開発していないソフトウェアがLog4jを利用している場合もあります。その場合はベンダーの対応状況を調べる必要がありますが、まとめたようなリンクがありますので紹介しておきます。
- log4shell/software at main · NCSC-NL/log4shell ※12/14追記
- BlueTeam CheatSheet * Log4Shell*
- GitHub – YfryTchsGD/Log4jAttackSurface
- Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability). ※12/15追記
続いて、脆弱性の仕組みを解説している記事を紹介します。
- Microsoft’s Response to CVE-2021-44228 Apache Log4j 2 – Microsoft Security Response Center
- Inside the Log4j2 vulnerability (CVE-2021-44228) (cloudflare.com)
- Zero-Day Exploit Targeting Popular Java Library Log4j (govcert.ch) ※12/13追記
検知用の参考ペイロードを紹介します。サーバー管理者はアクセスログ等を確認する参考にしてください。
当日中に気づけるのか
私が気づいたのは12/11 9時頃で、知人から情報の共有があったためです。その情報は以下表に記載のマインクラフトサーバーが停止したツイートでした。
以下は簡単な時系列です。表は適宜追加修正致します。
| 日時 | 内容 |
| 12/9 23:25 | 脆弱性についてのツイート https://twitter.com/P0rZ9/status/1468949890571337731 |
| 12/10 0:27 | 攻撃コードが公開される |
| 12/10 8:20 | マインクラフトサーバーが停止し、それがlog4jであることを記載したツイート https://twitter.com/tsukkkkkun/status/1469084657723768832 この時点で既に攻撃は始まっているとの情報があった。 |
| 12/10 14:22 | 窓の杜に掲載 マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】 |
| 12/10 16:42 | ITmediaに掲載 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か |
| 12/11 2:04 | US-CERTがTwitterで注意喚起 https://twitter.com/USCERT_gov/status/1469352402545483790 |
| 12/11 15:33 | JPCERTコーディネーションセンターがTwitterで注意喚起 https://twitter.com/jpcert/status/1469555867968491521 |
| 12/13 12:30 | JVN公式アカウントが脆弱性についてツイート https://twitter.com/jvnjp/status/1470234530158153730 |
| 12/13 13:15 | IPAセキュリティセンターの公式アカウントが注意喚起 https://twitter.com/ICATalerts/status/1470245983665545217 |
| 12/13 21:33 | NISCから注意喚起 https://twitter.com/nisc_forecast/status/1470371216934731778 |
※内閣サイバー(注意・警戒情報)、IPAからは12日中には注意喚起出ていない認識です。
元々JPCERT/CC、IPA、内閣サイバーセキュリティセンター(Nisc)が注意喚起した時には遅い(既に攻撃は観測されている)という認識ですが、今回の件でも改めて感じさせられました。海外情報の方が早いのですが、US-CERTが注意喚起したタイミングですら既に攻撃は観測出来ていました。
ITmediaの記事が12/10 16:42なので、この記事を見るタイミングは終業間際となり、ここから対応を取るのは厳しいと思います。情報を得てからリスクを判断し、担当者に確認する頃には担当者は帰宅している可能性もある訳ですから。
窓の杜に掲載された時間であれば、間に合うタイミングだと思います。それでもLog4jの影響範囲や攻撃のリスクを判断出来なければ即日対応に至るのは難しいと考えています。
こうやって並べるとニュースや公式情報だと遅いということが分かります。現状ではSNSでセキュリティ情報を発信してくれる人をフォローするのが一番良いと思います。しかし、職場でSNSを見ることに理解が無いと難しいかもしれませんね。今回のような事例を集め、「公開された注意喚起では遅い」といったアピールをしていくしか無いと思います。
Twitterでの情報収集
知人から一報を受けたのち、SNS上をウォッチしていました。
私がTwitterで情報収集する際はTweetDeckを利用しています。
複数のワードでの情報をウォッチすることができます。今回の場合「log4j」、「Log4Shell」というワードでツイートを観測していました。
TweetDeckにはサブスクリプション化の話もありますが、現状Twitterで収集するにはTweetDeckみたいなものは必須でしょう。
最後に
選任でセキュリティチームが居ても、業務中は情報収集以外の業務で忙しかったりするので、当日中に検知/対応できた組織はどのくらいあったんでしょうか。各組織毎に対応の振り返りを行い、情報収集にも価値を見出して予算が割かれるようになれば、日本のセキュリティも少しはマシになるのかなと思います。
[広告]当サイトはさくらインターネットのレンタルサーバーを利用しています。
