この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
AWSチームのすずきです。
DevelopersIO、当ブログサイトに対する「Apache Log4j」の脆弱性(CVE-2021-44228)を狙った攻撃を把握する為、 Amazon CloudWatch でダッシュボードを作成する機会がありましたので、紹介させていただきます。
ダッシュボード
- 12/17時点では、マネージドルール「Log4JRCE」 はカウントのみ、ブロックは行わない設定で利用しているため、検出数は 「AllowRequests」として計上されています。
公開URL
設定
クロスアカウント設定
CloudWatchダッシュボードを公開するリスクの最小化と、発生するコストの明確化のため、AWS WAFが動作する本番環境とは別のAWSアカウントを用意。 CloudWatchメトリック情報をクロスアカウントで参照できる環境としました。
CloudWatch設定
Browse
グラフ化対象のメトリクス、以下条件に該当するものを指定しました。
- LabelName="Log4JRCE"
- LabelNamespace="awswaf:managed:aws:known-bad-inputs"
AllowedRequests (Countのみ)と、BlockedRequests を対象に指定しました。
グラフ化したメトリクス
1時間の攻撃リクエスト数の合計数を表示するため、以下設定を行いました。
- 統計: 「合計」
- 期間: 「1時間」
オプション
カウント数とブロック数の合計を把握しやすい「スタックされたエリア」を選択しました。
ダッシュボードに追加
作成したグラフ、ダッシュボードに追加、保存を行いました。
ダッシュボード公開
作成したダッシュボードは、パブリック公開設定を行いました。
まとめ
当記事を執筆した2021年12月17日時点では、 DevelopersIO、当ブログサイトで検出された 「Apache Log4j」の脆弱性攻撃は 1日20~30回程度で継続して発生している模様です。
当記事で紹介させて頂いたダッシュボード、 警察庁Webサイト の公開情報などと共に、Log4j脆弱性を狙う攻撃の発生傾向の指標としてをご活用ください。
攻撃傾向に変化があった場合には改めて詳細調査を行い、その結果を共有させて頂きたいと思います。
2
