更新情報:3つのWAFルールすべてに、デフォルトのアクションとして ブロック が設定されました。

人気の高い  Apache Log4j ユーティリティ  (  CVE-2021-44228  )に影響を与えるゼロデイエクスプロイトが2021年12月9日に公開され、リモートコード実行(RCE)に至ります。

この脆弱性は積極的に悪用されており、Log4jを使用しているすべてのユーザーは、できるだけ早くバージョン2.15.0にアップデートする必要があります。最新のバージョンは、  Log4j のダウンロードページ  ですでに確認できます。

最新バージョンへのアップデートが不可能な場合、クラスパスからJndiLookupクラスを削除することで、この脆弱性を軽減できます。さらに、Log4j バージョン2.10およびそれ以降では、システムプロパティ  log4j2.formatMsgNoLookups または  LOG4J_FORMAT_MSG_NO_LOOKUPS 環境変数を  true に設定することで、この問題を軽減できます。

また、Cloudflare WAFをご利用のお客様は、新たに導入された3つのルールを活用することで、悪用される可能性を軽減することができます。

ルールID 説明 デフォルトアクション
100514 (旧バージョンのWAF)
6b1cc72dff9746469d4695a474430f12 (新しいWAF)
Log4jのヘッダ BLOCK
100515 (旧バージョンのWAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (新しいWAF)
Log4jのボディ BLOCK
100516 (旧バージョンのWAF)
5f6744fa026a4638bda5b3d7d5e015dd (新しいWAF)
Log4jのURL BLOCK

この軽減措置は、HTTPヘッダー、ボディ、URLをそれぞれ検査する3つのルールに分かれています。

引き続き状況を確認しており、WAFで管理されているルールを適宜更新していきます。

脆弱性の詳細については、公式の  Log4j のセキュリティページ  に記載されています。

影響の対象

Log4jは、Apache Software Foundationが管理する、Javaベースの強力なロギングライブラリです。

すべての Log4j 2.0-beta9 から 2.14.1 までのバージョンにおいて、構成、ログメッセージ、およびパラメータで使用される JNDI 機能は、攻撃者に悪用され、リモートでコードが実行される可能性があります。具体的には、ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAP サーバーから読み込んだ任意のコードを実行できます。