ブログ - CVE-2021-44228 Apache Log4jの任意のコード実行の脆弱性
Javaでアプリを作成していると,トランザクションやセッションを追跡するためにログを吐き出す仕組みとしてlog4jライブラリを組み込んでいるのは普通のことだけれど,そのLog4jライブラリの脆弱性がでています.
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
引用: ログを書き出すライブラリがに実装された謎機能?が問題の模様で,思わず影響を受けるものが多いそうで.
昨年のSolarWindsよりも酷い状態じゃないかな.
既にLookup機能を無効化するように修正されたバージョンがリリースされていまますが,新たにJava8用のLog4jがリリースされたそうです.
引用:
RiskIQの詳細記事(英語だけど)
CVE-2021-44228 - Apache Log4j Remote Code Execution Vulnerability
https://community.riskiq.com/article/505098fc
GreyNoiseは、この脆弱性を悪用するためにインターネットをスキャンしていることが確認されたIPのリストを公開しています.
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
引用:
ワークアラウンド.
引用:
追記2021/12/17
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用: 基本的に8080ポートを使った攻撃観測が多いのか.8080なのでProxy回避の直アクセスやや管理画面などを想定しているのかなぁ.
Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について - 警視庁
https://www.npa.go.jp/cyberpolice/important/2021/202112141.html
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
引用:
Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列
から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用
されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録す
ることで、Log4jはLookupにより指定された通信先もしくは内部パスからjava
classファイルを読み込み実行し、結果として任意のコードが実行される可能性
があります。
昨年のSolarWindsよりも酷い状態じゃないかな.
既にLookup機能を無効化するように修正されたバージョンがリリースされていまますが,新たにJava8用のLog4jがリリースされたそうです.
引用:
** 更新: 2021年12月15日追記 ******************************************
The Apache Software Foundationは、Apache Log4jのバージョン2.16.0
(Java 8以降のユーザー向け)および2.12.2(Java 7のユーザー向け)を公開
しました。
RiskIQの詳細記事(英語だけど)
CVE-2021-44228 - Apache Log4j Remote Code Execution Vulnerability
https://community.riskiq.com/article/505098fc
GreyNoiseは、この脆弱性を悪用するためにインターネットをスキャンしていることが確認されたIPのリストを公開しています.
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
引用:
主にLDAPのJNDIリソースを利用した攻撃が確認されていますが、RMIやDNSなど他のJNDIリソースに拡大する可能性があります。これらの文字列は、潜在的にログに記録されるあらゆる値に注入される可能性があります。可能性のあるフィールドは、ユーザーエージェント、ウェブフォーム、ウェブページ名、またはユーザーデータが送信される他の任意の場所です。これらの値は、もしログに記録されるために送られると、Log4j を使ってアプリケーションによって解析され、実行され ることができます。以下は、悪用されようとしていることを検知できる文字列です。${jndi:ldap ${jndi:dns ${jndi:rmi ${jndi:nis ${jndi:nds ${jndi:corba ${jndi:iiop
ワークアラウンド.
引用:
アップグレードされた Log4j ライブラリを使用する前にこの問題を軽減したい組織で、2.10 から 2.14.1 の間の Log4J バージョンを使用している場合、JVM 起動パラメーターに次のプロパティを適用し、Java プロセスを再起動することが可能です。-DLog4j2.formatMsgNoLookups=true
追記2021/12/17
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用:
警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。
Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について - 警視庁
https://www.npa.go.jp/cyberpolice/important/2021/202112141.html