2021年12月6日にApache Software Foundationにより修正されたLog4j に存在するリモートコード実行の脆弱性（CVE-2021-44228）についての検証を実施し、脆弱性の悪用が可能であることを確認しました。^[1][2]

(2022.2.16) 追加情報：

以下追加情報として、「Apache Log4jに関する解説 1.6版」を公開しましたのでご覧ください。

1. 本脆弱性の概要

Log4j は、Apache Software Foundationが提供するロギング用ライブラリで、Java等のアプリケーションでログ出力を行う実装として幅広く利用されています。本脆弱性はLog4shellとも呼称され、Log4j に存在する JNDI(Java Naming and Directory Interface) Lookup機能に含まれる問題に起因します。

本脆弱性の悪用に成功した場合は攻撃者がリモートから任意のコードを実行できる可能性があり、 Apache Software FoundationによるとCVSSv3 スコアが最高値の10.0、SeverityはCriticalと評価されています。
また、概念実証(PoC)コードも数多く公開されており、攻撃の観測や被害事例も報告されていること、ライブラリ単体のみならず影響を受けるライブラリを含む製品が多数のベンダに渡って存在することから、今後の被害の拡大が懸念されます。^[3]

※ JNDI Lookup機能とは：
Java アプリケーションが DNS や LDAP 等のサービスを利用するための汎用的なライブラリで、出力される情報に特定の文字列が含まれる場合、変数として置換する機能です。 この機能を活用することで日付や環境情報などを動的に出力することができます。

図1. 本脆弱性を悪用した攻撃の例

攻撃者が用意したLDAPサーバにより、不正なJavaのClassファイルを用いて被害者に任意のコードを実行させる方法として、図1で示す3段階での手順の攻撃を確認しています。
RMI等を使った攻撃手法では、第2段階までで攻撃が成立することを確認しており、Step4が省略され、Step3の手順でレスポンスを受け取った際に任意のコードを含んだ不正なメソッドの呼び出しが行われます。

第1段階（攻撃試行）

Step1. 標的となる脆弱なLog4jライブラリを使用するアプリケーションにおいて、JNDI Lookupを行うための不正なHTTPリクエストを送信する

Step1の成立要件としては、脆弱なバージョンのLog4jであること、JNDI Lookup機能が有効となっていることが前提です。

第2段階（JNDIの不正操作）

Step2. 攻撃者が指定したJNDI Lookupにより、攻撃者のLDAPサーバに接続を開始する

Step3. 攻撃者により設定された任意のコードを含む不正なClassライブラリのダウンロード先が含まれたLDAPのレスポンスを受け取る

第3段階（不正なClassファイルの読み込みによる任意のコード実行）

Step4. Step3で取得したダウンロード先から不正なClassライブラリをダウンロードする

Step5. 不正なClassライブラリを読み込み、任意のコードが実行される

2. 本脆弱性の影響を受ける環境

また、一般的なアプリケーションの製品に本脆弱性の影響があるライブラリが含まれている可能性もあり、この場合も影響の有無を確認することを推奨します。
参考として、オランダ国立サイバーセキュリティセンターにより確認・公開されている脆弱な製品のリストを記載しておりますが、本リストに含まれている製品以外でもLog4jを実装している製品の場合は脆弱性の影響を受ける可能性があります。^[3]

3. 本脆弱性を利用した攻撃の検証

脆弱性を持ったサーバを構築することにより、本脆弱性の悪用が可能であることを確認しました。

3.1. 検証環境

3.2. 検証手法

本脆弱性が存在する Log4j ライブラリを使用するサーバに対して、不正な HTTP リクエストを送信します。HTTP リクエストには Log4j の JNDI Lookup を実行させることにより、不正な LDAP サーバへ誘導するためのアドレスが含まれます。LDAP サーバは問い合わせを受けると、不正な Java Class ファイルのある HTTP サーバのアドレスを Log4j に返します。Log4j はこの Class ファイルを読み込み、Class ファイルのコードを実行します。

本検証では公開されている Docker イメージを用いて、実際に脆弱性が悪用可能かを確認しました。本検証で使用した不正な Class ファイルは、外部の特定のアドレスと通信を行い、コマンドの入力を受け付けて実行結果を返すものです。

3.3. 検証結果

図2に示す通り、存在するパスに不正なHTTPリクエストを送信すると、一連の攻撃手順によって不正な Class ファイルが実行されます。不正な Class ファイルが実行された結果、図3 に示す通り nc –l コマンドでリッスンしている外部ホストとの通信が確立され、任意のシェルコマンドを実行できることが確認できました。

図2. 不正なリクエストの送信

図3. 通信の確立とコマンドの実行

また、存在しないパスに不正な HTTP リクエストを送信した場合も確認しました。この場合も、図4に示す通り一連の攻撃手順によって不正な Class ファイルを読み込んでおり、任意のコマンドが実行できることも確認できました。また外部ホストとの接続終了時には、図5 に示す通り不正な HTTP リクエストの送信元へ HTTP 404 のエラーコードを返していることが確認されました。

図4. 不正な Class ファイルの読み込み

図5. リクエストの送信元への404

今回の検証の結果から、不正なリクエストの送信元に対して HTTP 404 のエラーを返していても、Log4jが不正な Class ファイルを読み込んで実行している可能性があると考えられます。

4. 本脆弱性に対する対策

4.1. 現在推奨されている対策

12月6日に公開された修正バージョン2.15.0ではリモートコード実行に関する別の脆弱性(CVE-2021-45046)の影響を受けるとされており、その後の修正バージョンにおいても異なる脆弱性が発見されたため、最新バージョンの適用が推奨されます。

この修正バージョンの適用には、Java 8以上の実行環境が必要のため、Java7以下を使用している場合はJavaの更新も必要です。
2021年12月28日にはJava 6とJava 7の実行環境用の修正バージョンが公開されました。Java 6とJava 7は公式サポートが終了しているため、Java 8にアップデートすることが望ましいですが、Java 8への早急なアップデートを行うことが困難な場合は暫定対処として検討してください。

即座のバージョンアップが困難な場合の回避策として、バージョン2.16.0未満の場合はJndiLookupクラスを削除する方法が使用可能です。^[1]

さらに、本脆弱性の影響を受けるライブラリを使用するアプリケーション製品への影響有無については、ベンダのアップデート等の情報やオランダ国立サイバーセキュリティセンターが公開しているGithubのリポジトリ^[2]（※）をご確認下さい。

※ 情報公開者により随時内容がアップデートされております。また、本リストは公開者により確認されているもののみ（潜在的に使用しているアプリケーションに脆弱なライブラリが含まれている可能性）であることに注意が必要です。

4.2. 不正アクセス監視機器による対策

当社が確認している不正アクセス監視機器の対応状況

各製品ベンダの本脆弱性への対応状況に関する情報、及び各製品での検知結果は以下の通りです。表2に公式シグネチャの提供状況を記載します。検知結果の欄には、検知が確認されたシグネチャ・ルールの結果を記載しています。

---

本件に関するお問い合わせ先

NTTデータ先端技術株式会社

お問い合わせフォーム