log4shell注意喚起

Transcript

1. Apache Log4jの任意のコード実行の脆弱性 （CVE-2021-44228）に関する注意喚起 (Log4shell) ITインテグレーション部 情報セキュリティビジネスチーム 2021年12月13日

2. Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起(1) (１)概要 JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード 実行の脆弱性（CVE-2021-44228）があります。Apache Log4jが動作するサーバー において、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、 任意のコードを実行する可能性がある。 深刻度はCVSS

   v3のスコアとして最大値となる10.0（緊急） Apache Log4j Security Vulnerabilities Fixed in Log4j 2.15.0 https://logging.apache.org/log4j/2.x/security.html Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、 一部の文字列を変数として置換する。その内、JNDI Lookup機能が悪用されると、 遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4j はLookupにより指定された通信先もしくは内部パスからjava classファイルを読み込み 実行し、結果として任意のコードが実行される可能性がある。 (２)対象 対象となるバージョンは次のとおり。 - Apache Log4j 2.15.0より前の2系のバージョン なお、すでにEnd of Lifeを迎えているApache Log4j 1系のバージョンは、Lookup機能 が含まれておらず、JMS Appenderが有効でもクラス情報がデシリアライズされない ため影響を受けない 1 https://www.jpcert.or.jp/at/2021/at210050.html?fbclid=IwAR0j9lq3j9s4gk5T9j-IQDUs8aaj4cfTNTABRTLaycu0ULnk8GrInAt0CFg より

3. Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起(2) (３)対策 The Apache Software Foundationから本脆弱性を修正したバージョンが公開されている。 次のバージョン以降では、Lookup機能がデフォルトでは無効となっている。 - Apache

   Log4j 2.15.0 使用するアプリケーションやソフトウェアなどについて関連情報を注視し、本脆弱性の影 響を受けることが判明した場合も、速やかにアップデートなどの対応を行うことを推奨。 なお，システム内にlog4jのファイルがそのままなくても，圧縮ファイルのwarファイル内に log4jファイル，環境変数が格納されている場合があるため，Javaのシステムを利用して いる場合は開発元に確認すること。 2 https://www.jpcert.or.jp/at/2021/at210050.html?fbclid=IwAR0j9lq3j9s4gk5T9j-IQDUs8aaj4cfTNTABRTLaycu0ULnk8GrInAt0CFg より

4. 3 Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起(3) (４)回避策 The Apache Software Foundationから、Log4jのバージョンに応じた回避策に関する情報 が公開されている。 Log4jバージョン2.10およびそれ以降

   - Log4jを実行するJava仮想マシンを起動時に「log4j2.formatMsgNoLookups」という JVMフラグオプションを指定する - 環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する Log4jバージョン2.10より前 - JndiLookupクラスをクラスパスから削除する また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を 制限するための可能な限りのアクセス制御の見直しや強化も推奨。 (５)攻撃有無の調査方法 対象のシステムでLog4jが読み込むログに対して，以下のコマンドで検索を実施する。 （/var/logはログの保存先サンプル） $ sudo egrep -I -i -r ‘jndi’ /var/log $ sudo egrep -I -i -r ‘¥$¥{¥$¥{::-j¥}¥$¥{::-n¥}¥$¥{::-d¥}¥$¥{::-i¥}’ /var/log (注) コマンドの環境によって動作が違う場合は適宜書き換えてください。 検索結果に不正なログが含まれていないかご確認ください。 あくまで，上記コマンドは大雑把に攻撃の有無を調査するコマンドなので，詳細に調査 したい場合は，各種リンク先のチートシートをご覧ください。 https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b https://www.cyberkendra.com/2021/12/log4shell-advisory-resource-cheat-sheet.00html

5. （参考） 本脆弱性が報告されたサイト・システム メーカ／コンポーネント 検証結果 Apple TRUE Tencent TRUE Steam TRUE

   Twitter TRUE Baidu TRUE DIDI TRUE JD TRUE NetEase TRUE CloudFlare TRUE Amazon TRUE Tesla TRUE Apache Solr TRUE Apache Druid TRUE Apache Struts2 TRUE メーカ／コンポーネント 検証結果 IBM Qradar SIEM TRUE PaloAlto Panorama TRUE ElasticSearch TRUE ghidra TRUE ghidra server TRUE Minecraft TRUE UniFi TRUE VMWare TRUE Blender TRUE Google TRUE Webex TRUE LinkedIn TRUE VMWare vCenter TRUE Speed camera LOL TRUE https://github.com/YfryTchsGD/Log4jAttackSurface?fbclid=IwAR0jn_Pb6Mf4t_v16CKDZRTVMRDRp9IrFJ1TemxV9phSIv4TLtonNGMO6nI 4

6. （参考） 参考URL Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた https://piyolog.hatenadiary.jp/entry/2021/12/13/045541?fbclid=IwAR3LrDsztV2rccsaAzha hXfNIQMfYbgg3lCJ3CIsK8eO9QQzPJ3bTV1dpyI Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210050.html log4j RCE

   Exploitation Detection https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b?fbclid=IwAR1YNRd6 Yl5YpkgVtZIVbqyFbJ_e9QLJca2qK5yjxrb3rNtQM2t62_expHY 標準コマンドでのLog4jログ検索，脆弱性調査 Security Advisories / Bulletins linked to Log4Shell (CVE-2021-44228) https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592?fbclid=IwAR2BTAl tQUXCVTcRt346RCRKhvyjVqKyCMMpiQON9hm9Z4fzJB8m7wWlu8o 各メーカの対応状況リンク log4j2の脆弱性を使って実際に任意コード実行してみました👀 https://zenn.dev/harukaeru/articles/9407287a1bfd44 【図解】Log4jの脆弱性 CVE-2021-44228 (Log4shell or LogJam) について https://milestone-of-se.nesuke.com/sv-advanced/sv-security/cve-2021-44228- log4shell-logjam/