VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。
本日(2021/12/13)、VAddyのエンタープライズとエンタープライズ+ プランのSSRF検査の中で、Log4jの脆弱性(CVE-2021-44228)が検査できるようになりました。
今回追加した検査は、2022年1月31日までの期間限定を予定しています。それ以降は本検査は行われません。
Apache Log4jの脆弱性(CVE-2021-44228)とは
オープンソースのロギングライブラリ「Apache Log4j」に、任意のコード実行の脆弱性(CVE-2021-44228)があることが発表されました。
この脆弱性は文字通り、第三者がApach Log4jを利用しているサーバーに悪意のあるコードを送信することで任意のコードを実行できるというものです。
任意のコード実行の危険性は言うに及ばず、今回の脆弱性によって外部から入力されたアドレスに対してDNSの名前解決やLDAPサーバーへのアクセスも行われることから、DNSの名前解決時にサーバ側の環境情報(データベースパスワードやAPIキーなど)を名前解決のFQDNに含めることで環境情報の漏洩につながります。
本日配信されたクラウド型WAF「Scutum」のプレスリリースでもご案内している通り、2021年12月12日までにScutumにおいて483サイト2553件以上の攻撃を検知・防御しており、VAddyでも本脆弱性は緊急対策を必要とするものと認識しています。
Apache Log4j の任意のコード実行の脆弱性(CVE-2021-44228)についてクラウド型 WAF「Scutum」が対策を完了、難読化による多様な攻撃パターンも防御可能に
SSRF検査に追加された機能(Log4j検査)
VAddyに追加されたLog4jの検査では、任意のサーバのアドレスをVAddyから渡し、VAddyのDNS側でその名前解決が行われたかを検知します。名前解決を使った検知システムはVAddyのSSRF検査で使われており、動作が酷似しているためSSRF検査の中でLog4jの検査も行うことにしました。
検査で脆弱性が判定された場合は、SSRF (Log4j) というラベルが付くため、SSRF検査の中でもどのパターンの問題か分かります。
検査内容
今回の検査では、検査対象のサーバの入力パラメータに
${jndi:ldap://xxxxxx.vaddy.net/v}
といった情報を付与します。
ここでLog4jの脆弱性がある場合はxxxxxx.vaddy.netの名前解決が行われるため、これをVAddyのDNSサーバ側で検知します。
検査を追加した背景
VAddyでは特定のフレームワークやライブラリを想定した検査は行いまんせんでしたが、今回は期間限定(2022年1月31日まで)で対応することにしました。
Log4jは多くのJavaプログラムで利用されており、それを利用しているWebサービスも多い状況です。本脆弱性は外部から簡単にスキャンや実行ができ、かつ重大な影響を与える脆弱性であることからVAddyでも検査できるようにしました。すでにこの問題に関するスキャンが広くインターネット上で行われています。
フロント側のアプリケーションがJavaを使っていなくとも、内部利用するツールや連携する裏側でJavaが利用されているなど気付かない場所で利用されている場合もあり、本検査を提供する価値があると判断しました。
この問題はLog4jの最新版にバージョンアップすれば解決する点などを踏まえて、期間限定の検査としました。現在は2022年1月31日までの予定ですが状況によって提供期間は変更する可能性があります。
参考情報
JPCERT/CC:https://www.jpcert.or.jp/at/2021/at210050.html
対象:Apache Log4j 2.15.0より前の2系のバージョン