Apacheにおける近年最も深刻なゼロデイ脆弱性のLog4Shell (CVE-2021-44228) 発見方法と対策方法を学ぶ

昨日、Apache Software Foundation（ASF）からLog4jにおける重大な脆弱性情報が公開されました。Log4jはオープンソースのロギングフレームワーク、アプリケーションの動作を記録する為多くの開発者に使われています。

リモートコードの実行(CVE-2021-44228)は、Log4jの2.xから2.16(2021/12/13リリース)までのバージョンに存在し、Log4Shellと名付けられました。承認していないリモートの攻撃者がリモートからJNDI APIを使用しログを使用し任意のコード実行が行え、アクセス権限などの奪取が可能となります。CVSS3.1スコアでは最も深刻な10となっています。

Log4jはその汎用性の高さから様々なビジネスアプリケーションやサービスで採用されています。例えば：Minecraft, Elasticsearch,vCenterなど。近年で最も深刻な脆弱性の1つともいわれています。
 

既存のサービスまたは製品が当該脆弱性の影響を受けているかどうかの確認に、Onward SecurityのHERMAS研究チームは、Log4Shellを精巧に再現し、企業向けの脆弱性診断サービスとしての提供を開始しました。
 

弊社製品の”HERCULES SecSAM”では、製品のソフトウェア部品表（SBOM）を生成し、開発チームにおいて当該脆弱性を含むコンポーネントの採用状況を確認頂けます。また、ファームウェアスキャンの自動分析によってリスクが存在するコンポーネントの検出ができます。

対策方法

HERCULES SecSAM で影響を受けるバージョンの Log4j の存在が検出された場合、Log4j をバージョン 2.16.0 以降にアップグレードするか、SecSAMが提供した下記の脆弱性対策を参照してください。


Vendor Advisory

• [oss-security] 20211210 Re: CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints
• https://logging.apache.org/log4j/2.x/security.html
• https://security.netapp.com/advisory/ntap-20211210-0007/

Third Party Advisory

• [oss-security] 20211210 Re: CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints
• https://logging.apache.org/log4j/2.x/security.html
• https://security.netapp.com/advisory/ntap-20211210-0007/

Ref. National Vulnerability Database