AWSから Log4j脆弱性攻撃の被害が疑われるEC2について通知を受けました

AWSから Log4j脆弱性攻撃の被害が疑われるEC2について通知を受けました

EC2上で実施していたLog4jの脆弱性攻撃に利用されているLDAPサーバの名前解決が、AWSに不審なアクティビティとして補足され、注意喚起のメールが届きました。
#AWS Support
#Amazon GuardDuty
#Log4j
#セキュリティ
#脆弱性
suzuki.ryo

suzuki.ryo

facebook logohatena logotwitter logo
Clock Icon2021.12.18

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWSチームのすずきです。

log4jの脆弱性を標的とした攻撃による被害が疑われたEC2インスタンスについて、 AWSからのメールでの案内を受ける機会がありましたので、紹介させて頂きます。

AWSからのメール

一部抜粋

From: Amazon Web Services, Inc. no-reply-aws@amazon.com

Subject: [Action Required] Irregular Activity in your AWS Account [AWS Account: 000000000000] [US-WEST-2]

Your account contains resource(s) that likely have a vulnerable log4j library that are under attack.

The following are your affected EC2 resource Id(s): i-000000000000

時系列

案内が行われた経緯を紹介します。

  • 時刻は日本時間(JST)

12月17日 午前中

  • DevelopersIOサイトの WAFのアクセスログより、log4jの脆弱性攻撃に利用されているLDAPサーバを抽出

  • LDAPサーバ(FQDN)の名前解決をオレゴンのEC2上で実施
$ dig +short ###.y.ps###.com 
79.143.##.##

※当該EC2は、AWSが提供するDNSを利用していました。

12月18日 6時

AWSサポートよりメール到着

[Action Required] Irregular Activity in your AWS Account [AWS Account: 000000000000] [US-WEST-2]

12月18日 12時

AWSサポートより、追加情報が到着

[UPDATED] Action required: Irregular activity in your AWS account [AWS Account: 000000000000]

  • 疑わしいDNS問い合わせが行われた期間が、2月17日 5時から17時であった事
  • 終了済みのEC2などが検知されている可能性がある事

12月18日 17時

AWSサポートより、脆弱性のあるLog4j2ランタイムを含む Lambda関数についての案内が到着

[Notification] AWS Lambda update regarding Log4J2 security issue [AWS Account: 000000000000]

  • 当該アカウントに、Log4j2脆弱性影響を受けるLambdaの存在について案内がありました。
  • 案内を元にLambda関数の棚卸しを実施、2年前、Corretランタイムの評価に利用したLambda関数、最終実行ログが当時のテストのものである事を確認した上で、削除しました。

まとめ

AWSが提供、VPCで起動したEC2で利用できるデフォルトのDNS(AmazonProvidedDNS)、AWSが悪意ありと判定したサーバの名前解決を検出する仕組みが備えられており、 Log4j脆弱性を狙った攻撃に利用されている LDAPサーバ の名前解決が検出されて、AWSからの案内を受ける事になった模様です。 関係各所をお騒がせする事となり大変申し訳有りませんでした。

今回の通知は Log4j2脆弱性の被害は発生していない誤報でしたが、 もしもLog4jの脆弱性を狙う攻撃が成立していて、その被害に利用者側で気づけていなかった場合には、AWSからの案内が有効な情報だった可能性があります。 AWSから利用者宛に送られるメールについては見落とさず、その内容を確認頂く事をおすすめします。

GuardDuty

GuardDutyを利用する事で、デフォルトDNS(AmazonProvidedDNS)に対する危険なサーバの名前解決を検出する事が可能です。

  • Impact:EC2/MaliciousDomainRequest.Reputation

    EC2 インスタンスは、既知の悪意のあるドメインに関連付けられている低評価ドメインをクエリしています。

  • Backdoor:EC2/C&CActivity.B

    EC2 インスタンスが既知のコマンドアンドコントロールサーバーに関連付けられている IP をクエリしています。

Log4jの脆弱性攻撃に対応するアップデートが AWSブログで紹介されており、Log4j 脆弱性の被害の早期検出手段となる事が期待できます。

Amazon GuardDuty チームは、Log4j の脆弱性の悪用に関連するIoC(侵害指標)を追加し始めており、今後も継続していきます。GuardDuty は、既知の悪い IP アドレスまたは DNS エントリに到達しようとする試みを監視し、異常検知による振る舞いの検出結果を通じて脆弱性を突いた攻撃後の挙動を検出することもできます。

AWS上の悪意のあるアクティビティ検出に有効な GuardDuty。未設定の場合は 30日の無料トライアルもできますので、お試しいただくことをおすすめします。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]インシデントからの復旧を有人でサポートしてくれるAWS Incident Detection and Responseが日本語対応しました

[アップデート]インシデントからの復旧を有人でサポートしてくれるAWS Incident Detection and Responseが日本語対応しました

User avatar
臼田佳祐
2024.10.04
EC2 인스턴스에서 SMTP 25번 포트를 이용하여 메일을 송신하기 위해서는?

EC2 인스턴스에서 SMTP 25번 포트를 이용하여 메일을 송신하기 위해서는?

User avatar
Kim Jaewook
2024.08.05
「AWSクラウド活用の強力な味方 - AWSサポートの使い方」という内容で登壇しました #cm_odyssey

「AWSクラウド活用の強力な味方 - AWSサポートの使い方」という内容で登壇しました #cm_odyssey

User avatar
quiver
2024.07.31
[AWS Technical Support Note]เราจะทราบสถานะการดำเนินการแก้ไขข้อผิดพลาดที่เกิดจากฝั่ง AWS ได้อย่างไร

[AWS Technical Support Note]เราจะทราบสถานะการดำเนินการแก้ไขข้อผิดพลาดที่เกิดจากฝั่ง AWS ได้อย่างไร

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.