Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228)が報告された。JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起を発した。
脆弱性は、Alibaba Cloud セキュリティチームのChen Zhaojun氏が報告し、米国時間9日に明らかになった。Log4jは、Javaアプリケーションのログを出力するライブラリーとして、多数のアプリケーションに実装されている。
JPCERT/CCによれば、脆弱性はLog4jでログの文字列を一部を変数に置換する「Lookup」に起因する。これに含まれる「JNDI Lookup」機能が悪用された場合、遠隔から細工された文字列が送信されLog4jがログとして記録してしまうことで、Log4jがLookupで指定された通信先や内部のパスからjava classファイルを読み込んで実行する。これにより任意のコードが実行されてしまうという。脆弱性の影響を受けるバージョンは2.0-beta 9から2.14.1となる。
既にこの脆弱性を悪用する概念実証(PoC)コードが公開され、JPCERT/CCが脆弱性の悪用を試みる通信を国内で確認している。脆弱性には「Log4Shell」という通称も付けられ始めた。開発元のApache Software Foundationによる分析では、共通脆弱性評価システム(CVSS)の基本値で最大の「10.0」となっている。
Apache Software Foundationは、この脆弱性を修正したLog4j 2.15.0をリリースし、アプリ開発者などに適用など早期対応を促している。修正版ではLookupが初期設定で無効化された。また、脆弱性の影響を緩和する方法として、バージョン 2.10以降ではシステムプロパティーとして「log4j2.formatMsgNoLookups」を指定する、あるいは環境変数の「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に変更すること、2.0-beta 9から2.10よりも前のバージョンでは、クラスパス「zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class」から「JndiLookup」クラスを削除することを紹介している。
Cisco SystemsやAmazon Web Services(AWS)、Salesforce.com、VMware、IBM、Red Hat、NetApp、Oracleは、一部の製品やサービスで脆弱性の影響を受けるバージョンのLog4jを使用しているとして、対応状況を発表した。
また、Palo Alto Networks、SonicWallやトレンドマイクロ、Pulse Secureなどが製品への脆弱性の影響について調査している。
