更新情報:3つのWAFルールすべてに、デフォルトのアクションとして ブロック が設定されました。
人気の高い Apache Log4j ユーティリティ ( CVE-2021-44228 )に影響を与えるゼロデイエクスプロイトが2021年12月9日に公開され、リモートコード実行(RCE)に至ります。
この脆弱性は積極的に悪用されており、Log4jを使用しているすべてのユーザーは、できるだけ早くバージョン2.15.0にアップデートする必要があります。最新のバージョンは、 Log4j のダウンロードページ ですでに確認できます。
最新バージョンへのアップデートが不可能な場合、クラスパスからJndiLookupクラスを削除することで、この脆弱性を軽減できます。さらに、Log4j バージョン2.10およびそれ以降では、システムプロパティ log4j2.formatMsgNoLookups または LOG4J_FORMAT_MSG_NO_LOOKUPS 環境変数を true に設定することで、この問題を軽減できます。
また、Cloudflare WAFをご利用のお客様は、新たに導入された3つのルールを活用することで、悪用される可能性を軽減することができます。
| ルールID | 説明 | デフォルトアクション |
|---|---|---|
100514 (旧バージョンのWAF)6b1cc72dff9746469d4695a474430f12 (新しいWAF) |
Log4jのヘッダ | BLOCK |
100515 (旧バージョンのWAF)0c054d4e4dd5455c9ff8f01efe5abb10 (新しいWAF) |
Log4jのボディ | BLOCK |
100516 (旧バージョンのWAF)5f6744fa026a4638bda5b3d7d5e015dd (新しいWAF) |
Log4jのURL | BLOCK |
この軽減措置は、HTTPヘッダー、ボディ、URLをそれぞれ検査する3つのルールに分かれています。
引き続き状況を確認しており、WAFで管理されているルールを適宜更新していきます。
脆弱性の詳細については、公式の Log4j のセキュリティページ に記載されています。
影響の対象
Log4jは、Apache Software Foundationが管理する、Javaベースの強力なロギングライブラリです。
すべての Log4j 2.0-beta9 から 2.14.1 までのバージョンにおいて、構成、ログメッセージ、およびパラメータで使用される JNDI 機能は、攻撃者に悪用され、リモートでコードが実行される可能性があります。具体的には、ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAP サーバーから読み込んだ任意のコードを実行できます。