Log4jエクスプロイトからの防御

更新情報：ExtraHopは、この脆弱性のエクスプロイトに関連する侵入後動作を迅速に特定するために設計された、ファームウェアの更新と3つの新しい検知器を追加しました（詳細はこちら）。

一般的に使用されているJavaベースのApacheユーティリティLog4jに存在するLog4Shellというゼロデイ脆弱性（CVE-2021-44228）が公開されました。Log4jエクスプロイトを利用するとリモートでコードを実行することができ、展開するとサーバを完全に制御できるようになるため、この欠陥はサイバーセキュリティ上重大で広範囲に及ぶ脅威となります。現在、Log4jエクスプロイトの概念実証の例が公開されているため、脆弱なシステムが盛んに狙われています。

この欠陥を利用することで、JNDI（Java Naming and Directory Interface）APIから悪意のあるコードを送り込んでLog4jに実行させることが可能になります。現在の分析から、 LDAPまたはRMIでリモート・サーバに配信され、そこでJNDIを転送して、 HTTPSなどのプロトコルで別のサーバに到達すると考えられています。緊急パッチがApacheからリリースされています。Log4jは、Jira、iCloud、MinecraftなどのJavaアプリで一般的に広く使われているため、多くのユーザが導入していますが、自分の環境で実行されていることに気付いていません。

アプリケーションやデバイスが受ける影響の全貌はまだ分かっていませんが、さらなる概念実証から、クラウドベースのサービスやアプリに加えて、サーバ、ノート・パソコン、モバイル・デバイス、IoTデバイスなどのハードウェアを標的にできる可能性があり、潜在的なリスクが高まっています。さっそく、スキャンの挙動が観測されたという次のような報告がありました。

@GreyNoise によると、2つのユニークIPが新しいApache Log4j RCE脆弱性(CVE未割り当て)を求めてインターネットをスキャン中とのことです。
このアクティビティを https://t.co/QckU3An40q で追うためのタグはすぐできるので公開されたらリプライでリンクします。

— remy (@_mattata) 2021年12月10日

修復と検知

Log4jエクスプロイトでは、代替ポートや回避エンコード、TORを使って識別情報を隠しています。Log4jユーティリティを含んでいるソフトウェアを直ちにアップデートすることが推奨されますが、サプライチェーンの依存関係が複雑なため、脆弱性を抱えるユーザは、サプライヤによるシステムへのパッチや必要なアップデートのリリースを待つしかありません。残念ながら、多くのユーザはどのアプリケーションが脆弱なのかを知りません。

影響を受けるアプリケーションの基底動作を把握することで、この欠陥に関連した侵入の痕跡を特定することができます。ここで、ネットワークでの検知と対応ソリューションによる機械学習ベースの検知が役立ちます。

ExtraHop Reveal(x) 360によるLog4j対策

ExtraHopは、Log4jエクスプロイトに関連するアクティビティに対応した脅威のブリーフィングと新しい検知器をReveal(x)とReveal(x) 360でリリースしました。この検知器は、.classファイルがダウンロードされようとするとき、_異常な実行ファイルのダウンロード_というアラートを出します。

{{< video type="wistia" id="1i2cx04gg9" >}} Log4Shellエクスプロイトの試みに対するExtraHopの検知器のアラート。

Reveal(x) Enterpriseをご利用でクラウド接続をお持ちのお客様と、すべてのReveal(x) 360をご利用のお客様には、この検知器と最新のファームウェアが自動的に配信されます。お客様は、 フォーラムにアクセスしてアップデートに関する詳細情報を入手することができます。 また、現在Reveal(x)にログインされているお客様は、以下にReveal(x)ドメインを入力することで、脅威の概要に直接ジャンプすることができます。

{{< productlink link="extrahop/#/threatbriefings/log4shell?delta_type&from=6&interval_type=HR&until=0" >}}

Reveal(x)のトランザクション記録からJNDIコールを検索できるため、ここから出発して潜在的なエクスプロイトの試みを調査することができます。外部エンドポイントに対する新たなJNDIコールが観測された場合、その外部IPを直ちにブロックする必要があります。JNDIコールの使用が想定された動作である場合、そのアクティビティが悪意のあるものなのか、それとも問題ないものなのかを判断するために、さらなる調査が必要になることがあります。ExtraHop Threat Researchチームは、新たなPoCを注意深く監視しており、新しい情報が得られた際にはそれを提供いたします。

ポート443のHTTPSのような暗号化されたプロトコルを使った攻撃の試みがあったことも、ExtraHopのチームにより観察されています。この場合のJNDIコールはトラフィックを復号しない限り確認できません。Reveal(x)で攻撃を受けているデバイスからのトラフィックを復号できるようにしていれば、エクスプロイトの試みを示すJNDI要求を確認できます。

{{< video type="wistia" id="6jswpk04za " >}}

Log4Shellを利用したクリプトマイニング攻撃

この脆弱性が利用されてクリプトマイニング用のマルウェアがインストールされているシステムを、研究者が発見しています。これは、この脆弱性が容易に悪用できることを示すさらなる証拠です。Reveal(x)は、クリプトマイニング用プロトコルStratumの分類器と検知器を備えており、悪意のあるアクティビティに関するアラートをセキュリティチームに通知します。ExtraHopは、Stratumプロトコルを使ってXMRigを導入するアクターを多数確認しています。これを使用することで、ユーザのマシンを乗っ取って暗号通貨を採掘することが可能になります。

Log4Shellの影響は深刻で広範囲にわたっています。これは、悪意のあるアクターが一連のエクスプロイトを導入しているという点でSUNBURSTのようなサプライチェーン攻撃とは異なり、広く浸透しているソフトウェアに存在する深刻なセキュリティ上の欠陥です。そのうえ、この脆弱性はパッチが難しいだけでなく、悪用も簡単なため、侵入の痕跡を見付けるだけでは不十分です。多くの攻撃は、すでに侵入の段階を超えて、侵入後の動作に進んでいると考えられます。初期侵入のシグナルに引き続き注意する必要がありますが、今回のCVEに対応するためには、侵入後のアクティビティを未然に捕まえることが必要です。

2021年12月14日更新

迂回手段 CVE-2021-45046：

CVE 2021-4428に対するApacheの初期パッチに迂回手段が発見されました。具体的には、JNDIルックアップパターンを利用して悪意のある入力データを追加することでDOS攻撃を実行できる可能性がありました。

ExtraHopは、今後も追加のCVEが発見されると想定しており、引き続き検知と修復をサポートするための最新情報を提供していきます。

ExtraHopの最新情報：

***Log4Shell検知器の追加：***Reveal(x) 360をご利用のお客様と、Reveal(x) Enterpriseをご利用でクラウド接続をお持ちのお客様は、Log4j攻撃の検知に役立つ3つの新しい検知器を最新の脅威ブリーフィングとともに利用できるようになりました。これらの検知器は、旧バージョンのReveal(x)用も用意されていますが、近日リリースのReveal(x) 8.7では、新しいLog4Shell検知器のワークフローが改善されています。

• ***External LDAP Connection Detector：***External NFS Connection DetectorやExternal DB Connection Detectorと同じように、外部サーバへのLDAP接続を識別します。
• ***Incoming Malicious JNDI strings Detector：***Log4Shell JNDI Injection Attempt検知に追加されました。 jndi: 文字列インジェクションの試みを識別します。
• ***Log4Shell Activity：***Outbound Log4shell Activity検知に追加されました。Injection Attempt検知器で発見された外部へのアクティビティを識別することで、外部への悪意のあるコンテンツに対する要求を発見します。

***ファームウェアの更新：***ExtraHopは、ファームウェアのバージョン8.5.4とバージョン8.6.5をリリースしました。今週末には、四半期ごとのアップデートの一環として、バージョン8.7をリリースする予定です。いずれのリリースでも、Log4Shellエクスプロイトを検知する能力が以下のように向上しています。

• 全ポートにLDAPトラフィックの分類を追加し、外部LDAP接続が可能になります。
• IIOPとJava RMIのトラフィックの分類を追加し、これらのプロトコル上でLog4Shellの識別が可能になります。
• Request to External LDAP Server検知を追加し、外部サーバへのLDAP接続を識別できるようになります。