Apache Log4j2のRCE脆弱性を狙う攻撃観測

JPCERT/CCは12月17日、ログ処理用ライブラリ「Apache Log4j2」に発見されたリモートコード実行の脆弱性（CVE-2021-44228）についての攻撃観測について発表した。

当該脆弱性がSNSで話題となった12月10日以降、JPCERT/CCのハニーポットで観測された、攻撃と考えられる通信数の推移は次の通り。

日付 観測数 送信元IPアドレス数
12/10 10 4
12/11 46 27
12/12 79 32
12/13 44 29
12/14 59 33
12/15 72 42
12/16 83 37

通信の中には、脆弱性の悪用ではなくスキャンを目的としていると考えられるものも含まれるが、アクセス数は今後も増加することが予想されるとしている。

悪用するための攻撃は「${jndi:://$lt;url>} 」という形式を取る。多くのアプリケーションにおいて、Webサイトの入力フォームから受け取った文字列をログファイルに記録する。このため、入力フォームに対して悪意のある文字列を送信するだけで攻撃が成立してしまう可能性がある。

JPCERT/CCのハニーポットでは、「${jndi:ldap://」で始まる単純な文字列に加えて、Webアプリケーションフレームワークの回避を目的として難読化された文字列も観測しているという。log4j2は採用事例が非常に多く、また自分がlog4jをプログラムに取り込んだ覚えがなくとも、使用しているライブラリ内に内包されているケースも多くあるため、注意が必要だとしている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス