Log4jの脆弱性を検証、NTTデータ先端技術がレポートを発表 ~「脆弱性の悪用が可能なことを確認」

NTTデータ先端技術は12月15日、Apache Log4jの脆弱性について検証を実施し、脆弱性の悪用が可能なことを確認した、と発表した。

検証は、「攻撃試行」「JNDIの不正操作」「不正なClassファイルの読み込みによる任意のコード実行」の3段階で実施された。また、RMI(Remote Method Invocation:遠隔メソッド呼び出し)等を使った攻撃手法では「第2段階までで攻撃が成立する」ことを確認したという。

検証手法としては、脆弱性が存在するLog4jライブラリを使用するサーバーに対して、不正なHTTPリクエストを送信。HTTPリクエストにはLog4jのJNDI Lookupを実行させることにより、不正なLDAPサーバーへ誘導するためのアドレスが含まれる。LDAPサーバーは問い合わせを受けると、不正なJava ClassファイルのあるHTTPサーバーのアドレスをLog4jに返す。Log4jはこのClass ファイルを読み込み、Classファイルのコードを実行する、というもの。

 

検証の手順は次のとおり。

第1段階(攻撃試行)

*前提環境:脆弱性をもつLog4jバージョン、JNDI Lookup機能は「有効」

Step1. 標的となる脆弱なLog4jライブラリを使用するアプリケーションにおいて、JNDI Lookupを行うための不正なHTTPリクエストを送信する

 

第2段階(JNDIの不正操作)

Step2. 攻撃者が指定したJNDI Lookupにより、攻撃者のLDAPサーバーに接続を開始する

*JNDI Lookupで利用可能であることを確認したプロトコル
・LDAP (Lightweight Directory Access Protocol)
・DNS (Domain Name System)
・RMI (Remote Method Invocation)
・NDS (Novell Directory Services)
・NIS (Network Information Service )
・CORBA (Common Object Request Broker Architecture)

Step3. 攻撃者により設定された任意のコードを含む不正なClassライブラリのダウンロード先が含まれたLDAPのレスポンスを受け取る

 

第3段階(不正なClassファイルの読み込みによる任意のコード実行)

Step4.   Step3で取得したダウンロード先から不正なClassライブラリをダウンロードする

Step5. 不正なClassライブラリを読み込み、任意のコードが実行される

 

◎検証結果

存在するパスに不正なHTTPリクエストを送信すると、一連の攻撃手順によって不正なClassファイルが実行される。その結果、nc–lコマンド(サーバーのプロセスを起動するコマンド)でリッスンしている外部ホストとの通信が確立され、任意のシェルコマンドを実行できることが確認できた。

また、存在しないパスに不正なHTTPリクエストを送信した場合でも、一連の攻撃手順によって不正なClassファイルを読み込んでおり、任意のコマンドが実行できることが確認できた。

外部ホストとの接続終了時には、不正なHTTPリクエストの送信元へHTTP 404のエラーコードを返していることを確認した。

検証レポートは、「不正なリクエストの送信元に対してHTTP 404のエラーを返していても、Log4jが不正なClassファイルを読み込んで実行している可能性がある」と推定している。

◎検証環境

 疑似攻撃者疑似被害者
ホストOSUbuntu 18.04.1Ubuntu 18.04.1
アプリケーション/ツールDockerDocker
アプリケーション/ツールLDAPサーバーLog4j 2.14.1
アプリケーション/ツールHTTPサーバーApache Tomcat 8.0.24

 

検証レポートは、このほか「本脆弱性に対する対策」にも触れている。

また、検証レポートの追加情報として「Apache Log4jに関する解説 1.2版」を12月17日に公開した。

 

・Apache Log4jに存在する RCE 脆弱性(CVE-2021-44228)についての検証レポート
https://www.intellilink.co.jp/column/vulner/2021/121500.aspx

 
◎関連記事

・続報-5|SPSS、Sterling、Cloud Pak for Security、Cloud Pak for Data関連など多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表
・続報-4|Log4j脆弱性に関する主な情報源 ~主要ベンダー、政府系セキュリティ機関、CMU CERT/CCなど
・続報-3|Db2(フェデレーション機能)、IBM COS、Cognos、QRadar、Guardiumなど多数 ~Log4j脆弱性の影響を受ける製品・サービスをIBMが発表
・Log4jの脆弱性、影響、修正方法に関するFAQ ~IBMのジェシー・ゴルジンスキー氏が解説
・続報-2|IBM MQ、Power HMC、IBM Sterling File Gatewayも ~Log4j脆弱性の影響を受ける製品をIBMが発表
・続報-1|SPSS、Netezza、NetcoolもLog4j脆弱性の影響を受ける ~IBMが最新情報を公開
・Javaベースのログ出力ライブラリ「Log4j」に深刻な脆弱性 ~WebSphereやWatson Explorerも影響を受ける、クラウドサービスも調査中とIBM。各社も調査・対応中

[i Magazine・IS magazine]

More Posts