Java の Log4j の脆弱性関連の資料まとめ

かなり深刻な脆弱性で、後から見返したいときも出てきそうなので、自分用に資料をまとめておく。

JPCERT/CC の注意喚起

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

piyokango さんの記事

セキュリティ界隈で有名な piyokango さんの記事。
これを見れば一通りのことが分かるので、とりあえずこれを見ておくのがおすすめ。

• Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
• 「log4j 2.15.0での対応が不十分として2.16.0で修正されたCVE-2021-45046の情報が更新されています。 当初DoSの影響を受けるとされた内容がリモートコード実行に、SeverityもModerateからCriticalに (CVSS 3.7 → 9.0) 変更されています。 https://t.co/ZQ4rmADsff https://t.co/AMImM9lPbE」 / Twitter

Security NEXT

• 人気ライブラリ「Apache Log4j」に深刻な脆弱性、悪用も - 影響の確認や対策の実施を
• 「Apache Log4j 2.17.0」が公開 - サービス拒否の脆弱性を修正
• GA版「Apache Log4j 2.16.0」がリリース - 脆弱性の原因機能を削除
• 「Log4jShell」の当初緩和策を否定 - 最新版への更新を
• 「Log4Shell」への攻撃、少なくとも12月初頭より展開 - PoC公開以前についても確認を
• F-Secure、複数製品に「Apache Log4j」の脆弱性 - パッチをリリース
• 「Log4jShell」の悪用、国内でも多数検知 - 国内で被害も
• 各ベンダーが「Log4Shell」の検知方法、対策プログラムなどの情報を発信 - 「同2.15.0-rc1」には対策バイパスのおそれも
• 国内WAFベンダー「Log4jShell」に対応 - 約500サイトで攻撃を検知
• 「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性
• 「Apache Log4j」の脆弱性、VMwareの36製品に影響
• 脆弱性検証ツール「OWASP ZAP」がアップデート - 「Log4jShell」の影響で
• Google、一部クラウドサービスで「Log4Shell」の対応必要
• ウェブアプリに対する「Apache Log4j」の無償診断を期間限定提供 - ラック
• オンライン会議の「Zoom」、「Apache Log4j」脆弱性の影響を公表
• 「Apache Log4j」にあらたな脆弱性 - アップデートがリリース
• 米FTC、「Log4j」問題で企業に警告 - 放置による事故は責任を追求

Publickey

広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を － Publickey

TechCrunch

用語的に、ちょっと一般向けっぽく書かれているかな。

iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる | TechCrunch Japan

NHK

NHK も出すぐらい影響が大きいと判断しても良さそう。

“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ | IT・ネット | NHKニュース

対応策・緩和策

• “Log4j用ワクチン”登場　脆弱性を利用して修正プログラムを実行 - ITmedia NEWS
• Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO
• Apache Log4j のためのホットパッチ | Amazon Web Services ブログ
• IPAが「Apache Log4j脆弱性」の暫定回避方法を紹介：最新バージョンへのアップデートを推奨 - ＠IT

技術解説など

• Log4jで話題になったWAFの回避/難読化とは何か - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】
• 【図解】Log4jの脆弱性 CVE-2021-44228 (Log4shell or LogJam) について | SEの道標
• 【PoCあり】log4jの脆弱性で攻撃される条件と対策を技術的に解説します。CVE-2021-44228 – Self branding
• Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します | DevelopersIO

教訓

これだな、って思ったのでメモ。

log4j2のアレを調べたり色々してたんだけど、「何かのライブラリはその機能だけをやれ。単機能でちゃんと頑張れ。シンプルにしろ」「それ以外の機能はプラグインみたいにして本体に組み込むな」というプラクティスの大切さを感じた。
https://twitter.com/ockeghem/status/1469830333831204864

中国

どうしたかったんだろうな。

• 中国当局、Alibaba Cloudとのパートナーシップ停止との報道--「Log4j」の脆弱性報告に問題 - ZDNet Japan
• 「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ - GIGAZINE

その他

• 「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？　日本ハッカー協会に聞いた - ITmedia NEWS
• 「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた：ヤマーとマツの、ねえこれ知ってる？（1/3 ページ） - ITmedia NEWS
• オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に - やじうまの杜 - 窓の杜
  • log4shell/software at main · NCSC-NL/log4shell
• 「WAFのログで気づいたけど、ドイツのセキュリティ会社がLog4jの脆弱性を総当たり的に(?)スキャンしているらしい。日本の法律だとこれと同じことできるのかな? / “Log4J – Alpha Strike Labs” https://t.co/paq1Ca44Ju」 / Twitter
• インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている | TechCrunch Japan
• Apache Log4jの脆弱性とともに浮かび上がったオープンソースのメンテナの責任範囲の問題 - YAMDAS現更新履歴
• 本番環境でやらかしちゃったかもしれない話 2021-12-22 - Qiita
• 米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告 | TechCrunch Japan