ログ出力ライブラリLog4j脆弱性の影響
こんにちは。フィックスポイントの冨です。
先週、インフラ屋さん界隈では、Log4jの脆弱性対応で大騒ぎになりました。12/10ごろから攻撃性のアクセスが観測されるようになり、週末に確認・対策に呼び出されたエンジニアも多かったのではないでしょうか。
Javaベースのログ出力ライブラリー”Apache Log4j”に、リモートから任意のコードを実行される可能性がある脆弱性が明らかになり、攻撃用のコードも公開されている事態です。プログラムを書く方であればご存知と思いますが、かなり一般的に使われるものですので影響範囲が多岐に渡っております。対象となるのは Apache Log4j 2.15.0より前の2系のバージョンですが、Javaで実装されたアプリケーションのみならず、VMware、Ciscoなどのアプライアンス、ネットワーク製品の一部にもLog4j由来の脆弱性が指摘されています。また、ネット上の多くの著名サービスやミドルウェアなどに対しても攻撃成功のPoCの結果が公開されております。多くのセキュリティー関連の組織からもクリティカルであるといった評価がなされています。
技術的な観点からは、同ライブラリのJava Naming and Directory Interface(JNDI)で、ログに対するLookup機能が有効化されており、攻撃性のhttpリクエストを送ると、Log4jが攻撃者の悪意あるJava Classをダウンロードし、読み込み実行するといった内容です。対策としては最新版の2.15.0に更新が推奨されていますが、Java8が必要になることから入れ替えが行えない場合、一部機能の無効化を始めとして回避策が紹介されています。
JPCERT: Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(2021-12-11)
https://www.jpcert.or.jp/at/2021/at210050.html
Log4jは非常に広範囲で利用されているため、おそらくはメーカー/ベンダーでも全容を把握できていないと思われます。少なくともJavaアプリケーション、脆弱性がアナウンスされているモジュールなどを利用されている場合は、攻撃の確認と対策の見直しは必須です。また、各種機器にも影響範囲が及んでいるので、しばらくは関連ニュースに注意が必要でしょう。