AWSから Log4j脆弱性攻撃の被害が疑われるEC2について通知を受けました

AWSチームのすずきです。

log4jの脆弱性を標的とした攻撃による被害が疑われたEC2インスタンスについて、 AWSからのメールでの案内を受ける機会がありましたので、紹介させて頂きます。

AWSからのメール

一部抜粋

From: Amazon Web Services, Inc. no-reply-aws@amazon.com

Subject: [Action Required] Irregular Activity in your AWS Account [AWS Account: 000000000000] [US-WEST-2]

Your account contains resource(s) that likely have a vulnerable log4j library that are under attack.

The following are your affected EC2 resource Id(s): i-000000000000

時系列

案内が行われた経緯を紹介します。

• 時刻は日本時間(JST)

12月17日 午前中

• DevelopersIOサイトの WAFのアクセスログより、log4jの脆弱性攻撃に利用されているLDAPサーバを抽出

• LDAPサーバ(FQDN)の名前解決をオレゴンのEC2上で実施

$ dig +short ###.y.ps###.com 
79.143.##.##

※当該EC2は、AWSが提供するDNSを利用していました。

12月18日 6時

AWSサポートよりメール到着

[Action Required] Irregular Activity in your AWS Account [AWS Account: 000000000000] [US-WEST-2]

• log4j攻撃者として知られているDNSアドレスの名前解決を実施していたEC2の通知
• 早急な対処と、参考手順、サポート窓口などの案内
  • Using AWS security services to protect against, detect, and respond to the Log4j vulnerability
  • Update for Apache Log4j2 Issue (CVE-2021-44228)

12月18日 12時

AWSサポートより、追加情報が到着

[UPDATED] Action required: Irregular activity in your AWS account [AWS Account: 000000000000]

• 疑わしいDNS問い合わせが行われた期間が、2月17日 5時から17時であった事
• 終了済みのEC2などが検知されている可能性がある事

12月18日 17時

AWSサポートより、脆弱性のあるLog4j2ランタイムを含む Lambda関数についての案内が到着

[Notification] AWS Lambda update regarding Log4J2 security issue [AWS Account: 000000000000]

• 当該アカウントに、Log4j2脆弱性影響を受けるLambdaの存在について案内がありました。
• 案内を元にLambda関数の棚卸しを実施、2年前、Corretランタイムの評価に利用したLambda関数、最終実行ログが当時のテストのものである事を確認した上で、削除しました。

まとめ

AWSが提供、VPCで起動したEC2で利用できるデフォルトのDNS(AmazonProvidedDNS)、AWSが悪意ありと判定したサーバの名前解決を検出する仕組みが備えられており、 Log4j脆弱性を狙った攻撃に利用されている LDAPサーバ の名前解決が検出されて、AWSからの案内を受ける事になった模様です。 関係各所をお騒がせする事となり大変申し訳有りませんでした。

今回の通知は Log4j2脆弱性の被害は発生していない誤報でしたが、 もしもLog4jの脆弱性を狙う攻撃が成立していて、その被害に利用者側で気づけていなかった場合には、AWSからの案内が有効な情報だった可能性があります。 AWSから利用者宛に送られるメールについては見落とさず、その内容を確認頂く事をおすすめします。

GuardDuty

GuardDutyを利用する事で、デフォルトDNS(AmazonProvidedDNS)に対する危険なサーバの名前解決を検出する事が可能です。

• Impact:EC2/MaliciousDomainRequest.Reputation

  EC2 インスタンスは、既知の悪意のあるドメインに関連付けられている低評価ドメインをクエリしています。

• Backdoor:EC2/C&CActivity.B

  EC2 インスタンスが既知のコマンドアンドコントロールサーバーに関連付けられている IP をクエリしています。

Log4jの脆弱性攻撃に対応するアップデートが AWSブログで紹介されており、Log4j 脆弱性の被害の早期検出手段となる事が期待できます。

• Log4j 脆弱性に対する AWS セキュリティサービスを利用した保護、検知、対応

Amazon GuardDuty チームは、Log4j の脆弱性の悪用に関連するIoC（侵害指標）を追加し始めており、今後も継続していきます。GuardDuty は、既知の悪い IP アドレスまたは DNS エントリに到達しようとする試みを監視し、異常検知による振る舞いの検出結果を通じて脆弱性を突いた攻撃後の挙動を検出することもできます。

AWS上の悪意のあるアクティビティ検出に有効な GuardDuty。未設定の場合は 30日の無料トライアルもできますので、お試しいただくことをおすすめします。