Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、仮想通貨マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題

さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」が2021年12月10日に発覚し、大きな混乱を呼んでいます。Log4jをリリースするApacheは脆弱性を解決したバージョン2.15.0をリリースしていますが、すでにLog4Shellを突いたエクスプロイトが報告されています。

Hackers start pushing malware in worldwide Log4Shell attacks
https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/

Microsoft: Log4j exploits extend past crypto mining to outright theft | VentureBeat
https://venturebeat.com/2021/12/12/microsoft-log4j-exploits-extend-past-crypto-mining-to-outright-theft/

Log4Shellは、Log4jのバージョン2.0 beta9から搭載された機能「JNDI Lookup」に見つかった脆弱性で、特定の入力で任意のLDAPサーバーからclassファイルを動的に読み込んでしまうため、簡単に悪意のあるコードを実行できるというものでした。

JavaのLog4jライブラリで発見された脆弱性「CVE-2021-44228」はなぜ世界中に大きな影響を与えるのか？ - GIGAZINE

以下のムービーは、Log4Shellを実証する映像です。

Log4shell | Remote Code Execution | 0day | CVE-2021-44228 | POC - YouTube


IT系ニュースサイトのBleepingComputerによると、Log4Shellが公開されてすぐに、仮想通貨マイナーを強制的にインストールするシェルスクリプトをLog4Shellで実行する例が報告されているとのこと。Bleeping Computerは、攻撃対象のデバイスから競合するマルウェアを削除してから、コンテナ環境を対象としたマルウェア「Kinsing」をインストールさせ、仮想通貨のマイニングを開始するエクスプロイトを確認したと述べています。また、ネットワークセキュリティ研究企業のNetlab 360は、LinuxデバイスをMiraiやMuhstikといったボットネットにアクセスさせ、仮想通貨マイナーのインストールや大規模なDDoS攻撃を実行する動きを報告しました。

セキュリティ研究者による実証では、脆弱なサーバーにURLへのアクセスやコールバックドメインへのDNSリクエストの実行が確認されています。さらにLog4Shellを利用して、ホスト名やユーザー名、OSとそのバージョン番号など、サーバーのデータを含む環境変数を無断で流出させることに成功したことも報じられています。

また、BleepingComputerのウェブサーバーには、psc4fuel.comというドメインからのLog4Shellエクスプロイトが確認されたとのこと。この攻撃がセキュリティ研究者によるものなのか、それとも悪意のある攻撃者によるものなのかは不明ですが、pc4fuel.comは本来石油サービス会社のドメインであり、明らかになりすました上でエクスプロイトをしかけていると述べています。

CDNサービス企業のCloudflareはHTTPリクエストの中からJNDI Lookupに関わるものをブロックする形でファイアウォールを展開して対策しているそうです。Cloudflareは、すでに12月11日時点で1分あたりおよそ2万回ものエクスプロイトリクエストがあると報告。Twitterでも、Log4Shellエクスプロイトを観測したという報告が挙がっています。

Log4Shellの対応策としては、Log4jをバージョン 2.15.0に更新することが求められます。ただし、バージョン2.15.0の動作環境がJava 8であるため、Java 7以前の環境だとすぐに更新が行えない場合は「JNDI Lookupの無効化」「JNDI Lookupのclassファイルを削除」などが推奨されています。

アメリカのサイバーセキュリティ・インフラ安全保障局(CISA)のディレクターであるジェン・イースタリー氏は2021年12月11日付けで、「CISAは官民のパートナーと緊密に連携し、Log4jライブラリを含む製品に影響を与えるLog4Shellの問題に積極的に取り組む」という声明を発表。イースタリー氏は「はっきり言って、この脆弱性は深刻なリスクをもたらします。政府と民間企業が協力して取り組むことで、潜在的な影響を最小限に抑えることができます。私たちは、すべての組織がこの重要な取り組みに参加し、行動を起こすことを強く要請します」と述べました。

Statement from CISA Director Easterly on “Log4j” Vulnerability | CISA
https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability

CISAは企業や組織に対して、以下の3つの緊急措置を推奨しています。

・Log4jを利用したプログラムがインストールされている外部接続機器をすべて列挙する。
・Security Operation Center(SOC)が上記で列挙されたデバイスのアラートに対応していることを確認する。
・自動的に更新されるウェブアプリケーションファイアウォールを導入し、SOCが集中すべきアラートを絞り込む。

なお、Log4Shellのセキュリティアドバイザリについては、以下のページにまとめられています。

BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-12 2204 UTC · GitHub
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

また、サイバーセキュリティ企業のSilent Signalは「Log4Shellの影響を受ける脆弱なホストを発見するツール」をオープンソースで開発しており、ソースコードをGPLv3ライセンスの下でGitHubに公開しています。

Our new tool for enumerating hidden Log4Shell-affected hosts – Silent Signal Techblog
https://blog.silentsignal.eu/2021/12/12/our-new-tool-for-enumerating-hidden-log4shell-affected-hosts/

さらに、サイバーセキュリティ企業のCyberreasonは、Log4Shellを利用して脆弱性の修正パッチを適用する」「ワクチン」アプローチとなる「Logout4Shell」を展開しており、GitHubで公開しています。なおCyberreasonは、このLogout4Shellはあくまでも脆弱性へのエクスプロイトを利用したものであり、他人の管理するサーバーに実行することは違法であり全く推奨されないと述べています。

Cybereason Releases Vaccine to Prevent Exploitation of Apache Log4Shell Vulnerability (CVE-2021-44228)
https://www.cybereason.com/blog/cybereason-releases-vaccine-to-prevent-exploitation-of-apache-log4shell-vulnerability-cve-2021-44228