AWS WAFのマネージドルール「Log4JRCE」の検出数を公開するパブリックダッシュボードを設置してみた

DevelopersIO、当ブログサイトに対する「Apache Log4j」の脆弱性(CVE-2021-44228)を利用した攻撃状況をリアルタイム表示する公開ダッシュボードを設置してみました。
2021.12.17

AWSチームのすずきです。

DevelopersIO、当ブログサイトに対する「Apache Log4j」の脆弱性(CVE-2021-44228)を狙った攻撃を把握する為、 Amazon CloudWatch でダッシュボードを作成する機会がありましたので、紹介させていただきます。

ダッシュボード

  • 12/17時点では、マネージドルール「Log4JRCE」 はカウントのみ、ブロックは行わない設定で利用しているため、検出数は 「AllowRequests」として計上されています。

公開URL

developersio-log4jrce

設定

クロスアカウント設定

CloudWatchダッシュボードを公開するリスクの最小化と、発生するコストの明確化のため、AWS WAFが動作する本番環境とは別のAWSアカウントを用意。 CloudWatchメトリック情報をクロスアカウントで参照できる環境としました。

CloudWatch設定

Browse

グラフ化対象のメトリクス、以下条件に該当するものを指定しました。

  • LabelName="Log4JRCE"
  • LabelNamespace="awswaf:managed:aws:known-bad-inputs"

AllowedRequests (Countのみ)と、BlockedRequests を対象に指定しました。

グラフ化したメトリクス

1時間の攻撃リクエスト数の合計数を表示するため、以下設定を行いました。

  • 統計: 「合計」
  • 期間: 「1時間」

オプション

カウント数とブロック数の合計を把握しやすい「スタックされたエリア」を選択しました。

ダッシュボードに追加

作成したグラフ、ダッシュボードに追加、保存を行いました。

ダッシュボード公開

作成したダッシュボードは、パブリック公開設定を行いました。

まとめ

当記事を執筆した2021年12月17日時点では、 DevelopersIO、当ブログサイトで検出された 「Apache Log4j」の脆弱性攻撃は 1日20~30回程度で継続して発生している模様です。

当記事で紹介させて頂いたダッシュボード、 警察庁Webサイト の公開情報などと共に、Log4j脆弱性を狙う攻撃の発生傾向の指標としてをご活用ください。

攻撃傾向に変化があった場合には改めて詳細調査を行い、その結果を共有させて頂きたいと思います。