Log4jの脆弱性を緩和するAWS WAFをCloudFormationで設定してみた
AWSのマネージドルールを利用して Log4jの脆弱性(CVE-2021-44228)を緩和するAWS WAFを、CloudFormatinで作成してみました。
AWSチームのすずきです。
Log4jの脆弱性を緩和するため、AWSのマネージドルールに含まれる「Log4JRCE」のみ利用するAWS WAF、 CloudFormatinで設置する機会がありましたので紹介させて頂きます。
WAF設定
WebACL
- ELB(ALB)の保護で利用するため、「Scope: REGIONAL」としました。
- AWSのマネージドルール「AWSManagedRulesKnownBadInputsRuleSet」の最新バージョンを利用する指定を行いました。
- 誤検知による副作用を最小化するため、「Log4JRCE」以外のルールに該当したリクエストは受け入れる除外設定を行いました。
WebACL:
Type: AWS::WAFv2::WebACL
Properties:
Name: !Sub '${AWS::StackName}-webacl'
DefaultAction:
Allow: {}
Description: AWS WAFv2 WebACL with only Log4JRCE
Scope: REGIONAL
VisibilityConfig:
CloudWatchMetricsEnabled: true
MetricName: !Sub '${AWS::StackName}'
SampledRequestsEnabled: false
Rules:
- Name: AWS-AWSManagedRulesKnownBadInputsRuleSet
Priority: 1
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesKnownBadInputsRuleSet
ExcludedRules:
- Name: Host_localhost_HEADER
- Name: PROPFIND_METHOD
- Name: ExploitablePaths_URIPATH
OverrideAction:
None: {}
VisibilityConfig:
CloudWatchMetricsEnabled: true
MetricName: !Sub '${AWS::StackName}-AWSManagedRulesKnownBadInputsRuleSet'
SampledRequestsEnabled: true
LoggingConfiguration
- AWS WAFログの出力先は、S3へ直接出力する設定としました。
- S3費用を抑制するためフィルタリング設定を実施、「BLOCK」ログのみ保存する設定としました。
LoggingConfiguration:
Type: AWS::WAFv2::LoggingConfiguration
DependsOn: S3Bucket
Properties:
ResourceArn: !GetAtt 'WebACL.Arn'
LogDestinationConfigs:
- !GetAtt 'S3Bucket.Arn'
LoggingFilter:
DefaultBehavior: DROP
Filters:
- Behavior: KEEP
Conditions:
- ActionCondition:
Action: BLOCK
Requirement: MEETS_ALL
S3設定
- AWS WAF出力先の要件を満たすため、「aws-waf-logs」で開始するバケット名としました。
- AWS WAFログの書き込み許可を付与するため、バケットポリシーを設定しました。
- ストレージコスト抑制のため、一定期間で削除を行うライフサイクル設定を行いました。
- ログに秘匿情報が含まれる可能性に考慮し、デフォルトの暗号化とパブリック公開を抑制する指定を行いました。
S3Bucket:
Type: AWS::S3::Bucket
Properties:
BucketName: !Sub 'aws-waf-logs-${AWS::StackName}-${AWS::Region}-${AWS::AccountId}'
BucketEncryption:
ServerSideEncryptionConfiguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: AES256
LifecycleConfiguration:
Rules:
- Id: ExpirationInDays
Status: Enabled
ExpirationInDays: 45
- Id: NoncurrentVersionExpiration
Status: Enabled
NoncurrentVersionExpirationInDays: 7
- Id: ExpiredObjectDeleteMarker
Status: Enabled
ExpirationInDays: 7
- Id: AbortIncompleteMultipartUpload
Status: Enabled
AbortIncompleteMultipartUpload:
DaysAfterInitiation: 3
PublicAccessBlockConfiguration:
BlockPublicAcls: true
BlockPublicPolicy: true
IgnorePublicAcls: true
RestrictPublicBuckets: true
VersioningConfiguration:
Status: Enabled
S3BucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref 'S3Bucket'
PolicyDocument:
Id: !Sub '${AWS::StackName}-BucketPolicy'
Statement:
- Sid: AWSLogDeliveryWrite
Effect: Allow
Principal:
Service: delivery.logs.amazonaws.com
Action:
- s3:PutObject
Resource:
- !Sub 'arn:aws:s3:::${S3Bucket}/*'
Condition:
StringEquals:
s3:x-amz-acl: bucket-owner-full-control
- Sid: AWSLogDeliveryAclCheck
Effect: Allow
Principal:
Service: delivery.logs.amazonaws.com
Action:
- s3:GetBucketAcl
Resource:
- !Sub 'arn:aws:s3:::${S3Bucket}'
WAF有効化
AWSコンソールを利用、「Associated AWS resources」より、AWS WAFの保護を有効化しました。
保護対象のELB (ALB) を指定しました。
テスト
curlコマンドを利用して、AWS WAFによりブロックされる事を確認しました。
$ curl http:/waftest-00000.ap-northeast-1.elb.amazonaws.com -H 'User-Agent: ${jndi' -o /dev/null -w '%{http_code}\n' -s
403
ブロックログ確認
ログ出力先として指定したS3バケットに、以下のログがJSON形式で参照できました。
{
"timestamp": 1639205931267,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:ap-northeast-1:000000000000:regional/webacl/waf-webacl/0000-0000-0000-0000",
"terminatingRuleId": "AWS-AWSManagedRulesKnownBadInputsRuleSet",
"terminatingRuleType": "MANAGED_RULE_GROUP",
"action": "BLOCK",
"terminatingRuleMatchDetails": [],
"httpSourceName": "ALB",
"httpSourceId": "000000000000-app/waftest/000000000000",
"ruleGroupList": [
{
"ruleGroupId": "AWS#AWSManagedRulesKnownBadInputsRuleSet",
"terminatingRule": {
"ruleId": "Log4JRCE",
"action": "BLOCK",
"ruleMatchDetails": null
},
"nonTerminatingMatchingRules": [],
"excludedRules": null
}
],
"rateBasedRuleList": [],
"nonTerminatingMatchingRules": [],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
"clientIp": "0.0.0.0",
"country": "JP",
"headers": [
{
"name": "Host",
"value": "waftest-00000.ap-northeast-1.elb.amazonaws.com"
},
{
"name": "Accept",
"value": "*/*"
},
{
"name": "User-Agent",
"value": "${jndi"
}
],
"uri": "/",
"args": "",
"httpVersion": "HTTP/1.1",
"httpMethod": "GET",
"requestId": "1-0000-0000"
},
"labels": [
{
"name": "awswaf:managed:aws:known-bad-inputs:Log4JRCE"
}
]
}
まとめ
Log4jの脆弱性対策としてAWS WAFの利用を検討されている場合、今回のテンプレートをお試しください。
AWS WAFルールの誤判定が発生、副作用回避が必要となった場合には、S3に記録されたブロックログより詳細を確認を行い、IPアドレスなどを利用した除外設定をお試しください。
複数のマネージドルール利用、副作用の除外設定
サンプルテンプレート全文(YAML)
AWSTemplateFormatVersion: '2010-09-09'
Description: AWS WAFv2 configuration for Log4JRCE blocking and S3 logging
Resources:
WebACL:
Type: AWS::WAFv2::WebACL
Properties:
Name: !Sub '${AWS::StackName}-webacl'
DefaultAction:
Allow: {}
Description: AWS WAFv2 WebACL with only Log4JRCE
Scope: REGIONAL
Tags:
- Key: StackName
Value: !Sub '${AWS::StackName}'
VisibilityConfig:
CloudWatchMetricsEnabled: true
MetricName: !Sub '${AWS::StackName}'
SampledRequestsEnabled: false
Rules:
- Name: AWS-AWSManagedRulesKnownBadInputsRuleSet
Priority: 1
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesKnownBadInputsRuleSet
ExcludedRules:
- Name: Host_localhost_HEADER
- Name: PROPFIND_METHOD
- Name: ExploitablePaths_URIPATH
OverrideAction:
None: {}
VisibilityConfig:
CloudWatchMetricsEnabled: true
MetricName: !Sub '${AWS::StackName}-AWSManagedRulesKnownBadInputsRuleSet'
SampledRequestsEnabled: true
LoggingConfiguration:
Type: AWS::WAFv2::LoggingConfiguration
DependsOn: S3Bucket
Properties:
ResourceArn: !GetAtt 'WebACL.Arn'
LogDestinationConfigs:
- !GetAtt 'S3Bucket.Arn'
LoggingFilter:
DefaultBehavior: DROP
Filters:
- Behavior: KEEP
Conditions:
- ActionCondition:
Action: BLOCK
Requirement: MEETS_ALL
#- Behavior: KEEP
# Conditions:
# - ActionCondition:
# Action: COUNT
# Requirement: MEETS_ANY
# --------------------------------------------- #
# S3 bucket configuration for WAF log output
# --------------------------------------------- #
S3Bucket:
Type: AWS::S3::Bucket
Properties:
BucketName: !Sub 'aws-waf-logs-${AWS::StackName}-${AWS::Region}-${AWS::AccountId}'
BucketEncryption:
ServerSideEncryptionConfiguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: AES256
LifecycleConfiguration:
Rules:
- Id: ExpirationInDays
Status: Enabled
ExpirationInDays: 45
- Id: NoncurrentVersionExpiration
Status: Enabled
NoncurrentVersionExpirationInDays: 7
- Id: ExpiredObjectDeleteMarker
Status: Enabled
ExpirationInDays: 7
- Id: AbortIncompleteMultipartUpload
Status: Enabled
AbortIncompleteMultipartUpload:
DaysAfterInitiation: 3
PublicAccessBlockConfiguration:
BlockPublicAcls: true
BlockPublicPolicy: true
IgnorePublicAcls: true
RestrictPublicBuckets: true
Tags:
- Key: StackId
Value: !Sub '${AWS::StackId}'
VersioningConfiguration:
Status: Enabled
S3BucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref 'S3Bucket'
PolicyDocument:
Id: !Sub '${AWS::StackName}-BucketPolicy'
Statement:
- Sid: AWSLogDeliveryWrite
Effect: Allow
Principal:
Service: delivery.logs.amazonaws.com
Action:
- s3:PutObject
Resource:
- !Sub 'arn:aws:s3:::${S3Bucket}/*'
Condition:
StringEquals:
s3:x-amz-acl: bucket-owner-full-control
- Sid: AWSLogDeliveryAclCheck
Effect: Allow
Principal:
Service: delivery.logs.amazonaws.com
Action:
- s3:GetBucketAcl
Resource:
- !Sub 'arn:aws:s3:::${S3Bucket}'
Outputs:
WafAclArn:
Value: !GetAtt 'WebACL.Arn'
WafAclId:
Value: !GetAtt 'WebACL.Id'
