2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
log4jの脆弱性について
log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package | LunaTrace
Originally Posted @ December 9th & Last Updated @ August 1st, 3:30pm PDT Fixing Log4Shell? Claim a free vulnerability scan on our dedicated security platform and generate a detailed report in minutes. What is it?On Thursday, December 9th a 0-day exploit in the popular Java logging library log4j (version 2), called Log4Shell, was discovered that results in Remote Code Execution (RCE) simply by log
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します | DevelopersIO
IPアドレスは、ELB (国内向)、Global Accelerator(海外向) のIPアドレスで利用中のものでした。 $ host 75.2.71.201 201.71.2.75.in-addr.arpa domain name pointer a5b041b48e73d3807.awsglobalaccelerator.com. $ host 52.194.15.214 214.15.194.52.in-addr.arpa domain name pointer ec2-52-194-15-214.ap-northeast-1.compute.amazonaws.com. $ host dev.classmethod.jp dev.classmethod.jp has address 75.2.71.201 dev.classmethod.jp has address 99.83.1
文字列を記録させるだけで任意のリモートコードを実行できるゼロデイ脆弱性があることが明らかになった、Javaのログ出力ライブラリ「Apache Log4j」。12月10日に話題になってから、Javaを使ったシステムに関係するITエンジニアは対応に追われている。一方で、その脆弱性を突く具体的な手段をネット上で共有する行為は「不正指令電磁的記録に関する罪に問われるのではないか」と議論が起きている。 「罪に問われる可能性はある」 問題解決のためとはいえ、攻撃手段となりうる情報の共有は罪に問われるのか。日本ハッカー協会の杉浦隆幸理事に聞いたところ「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある」と指摘する。 不正指令電磁的記録に関する罪とは、コンピュータウ
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(31) 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。
Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "Log4j(2)の脆弱性の原因になった変更がどういう経緯で行われ今に至ったのか、こちらのツイートのリプライツリーで参照されている記事2つと、既に頂いていた指摘で参照されていたイシュートラッカーの情報を見ながら、把握しようとしてみて… https://t.co/eImvzjJMRX"
Log4j(2)の脆弱性の原因になった変更がどういう経緯で行われ今に至ったのか、こちらのツイートのリプライツリーで参照されている記事2つと、既に頂いていた指摘で参照されていたイシュートラッカーの情報を見ながら、把握しようとしてみて… https://t.co/eImvzjJMRX
世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設のセンサーで観測した攻撃数のグラフを公開した。 警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。 Apache Log4jは、Javaで使われるログ出力ライブラリ。多数の企業向けシステムに採用されている。 脆弱性は12月9日(米国時間)に判明。悪意のある文字列を記録させることで、任意のリモートコードを実行できるというもので、ハッキングに悪用されるリスクがある。 警察庁のセンサーでも、日本時間10日から攻撃を観測。1日当たりの攻撃数推移をポート別に示した棒グラフを14日に公開し、警戒を呼び掛けた。 米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関・CISAは14日、
Apache Log4j の脆弱性対策について(CVE-2021-44228) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
※追記すべき情報がある場合には、その都度このページを更新する予定です 概要 Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。 この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。 本脆弱性を悪用したと思われる攻撃が観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。 2021 年 12 月 14 日 更新 本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
オープンソースのロギングライブラリとしてさまざまなJavaアプリケーションに使われている「Apache Log4j」に、任意のリモートコードが実行できてしまう脆弱性が発見されました(CVE - CVE-2021-44228)。 これが悪用されると、第三者が勝手にサーバを操作して悪意のあるソフトウェアを組み込んだり、悪意のある攻撃を行う際の踏み台にされるなどのさまざまな攻撃が行われます。 すでに脆弱性の存在は広く知れ渡っているため、脆弱性のあるLog4jを使っているシステムはいつでも攻撃を受ける可能性があるのです。 この脆弱性は広範囲な影響が予想されており、多くの専門家が非常に深刻な状況として捉えています。 できるだけ速やかに、JavaアプリケーションにおけるLog4jの利用の確認と対策が必要です。 Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、例えばStrutsやR
Summary Log4j versions prior to 2.16.0 are subject to a remote code execution vulnerability via the ldap JNDI parser. As per Apache's Log4j security guide: Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can ex
BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC
20211210-TLP-WHITE_LOG4J.md Security Advisories / Bulletins / vendors Responses linked to Log4Shell (CVE-2021-44228) Errors, typos, something to say ? If you want to add a link, comment or send it to me Feel free to report any mistake directly below in the comment or in DM on Twitter @SwitHak Other great resources Royce Williams list sorted by vendors responses Royce List Very detailed list NCSC-N
Amazon Web Services ブログ Apache Log4j のためのホットパッチ ※この投稿は、2021年12月12日に公開された Hotpatch for Apache Log4j翻訳したものです。 CVE-2021-44228 により、広く使用されているオープンソースのロギングプラットフォームである Apache Log4j の脆弱性にパッチを適用、もしくは脆弱性の緩和のために忙しい週末を過ごされた方も多いかと思います。 影響を受けるアプリケーションを実行しているお客様は、この脆弱性に対処するために、Log4j をバージョン 2.15 にアップグレードすることをお勧めします。しかし、これは必ずしも迅速に実行できるとは限らないため、Corretto チームのメンバーは、脆弱な log4j デプロイメントをホットパッチするためのツールの構築に取り組みました。このツールは、Lo
本番環境でやらかしちゃった人 Advent Calendar 2021 22日目。 log4jの脆弱性CVE-2021-44228を狙った攻撃が多発していますね。 ご存知の方も多いと思いますが、私のサーバにもこの日(12/10)から多くの攻撃者が訪れています。 FortiGuard Labs Weekly Threat Briefsでは、毎週どんな攻撃が流行っていたのか、週ごとにまとめて紹介しています。12/17掲載記事 Log4j.Error.Log.Remote.Code.Execution が初登場で 検出数で1位を獲得しました。ThinkPHPやPHPUnitなど、昨年春からTOP5に鎮座していた競合からトップを奪取しました。すごいことです。 今回は、なんとlog4jさんのノック攻撃に返信してしまい、さらなる攻撃(第二波、第三波...)を受けるという失態を犯してしまいました。 皆さ
米Microsoftは12月14日(現地時間)、世界的に問題になっている「Apache Log4j」の脆弱性が、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認したと発表した。関連するアクティビティにはターゲットに対する攻撃も含む。 例えば、中国を拠点とする攻撃者集団「HAFNIUM」は、この脆弱性を利用して仮想化インフラを攻撃し、標的を拡大しているという。また、イラン政府関連のランサムウェア攻撃者集団「Phosphorus」がLog4jエクスプロイトを取得し攻撃用に変更を加えているという。 さらに、複数のアクセスブローカー(企業のクレデンシャル情報を盗んで「サービスとしてのランサムウェア」業者に売りつける犯罪者)が情報窃盗にLog4jの脆弱性を利用していることも確認したとしている。 これらの発表は、Microsoftが11日に公開した「CVE-2021-
ざっとSecurity Bulletinの2件を読みながらのメモ。12月18日21:00時点。誤りや情報が古いなどありましたらご指摘いただけるとありがたいです。 AWS(Amazon Web Services)のCVE-2021-44228関連情報 Apache Log4j2 セキュリティ速報 (CVE-2021-44228) Apache Log4j2 のセキュリティ速報 (CVE-2021-44228) の更新情報 日本語情報が遅れることがあります。原文は、上記各ページ右上(モバイルブラウザではページ最下部)で言語「English」を選ぶと確認できます。 影響があるもの Amazon Kinesis は修正済みのKinesis Agentが利用可能になっている。 Amazon Kinesis Data Analytics は修正済み。利用者は、アプリケーションを日本時間2021年12月
Java Naming and Directory Interface (JNDI) is a Java API that allows clients to discover and look up data and objects via a name. These objects can be stored in different naming or directory services, such as Remote Method Invocation (RMI), Common Object Request Broker Architecture (CORBA), Lightweight Directory Access Protocol (LDAP), or Domain Name Service (DNS). In other words, JNDI is a simple
us-16-MunozMirosh-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE
A JOURNEY FROM JNDI/LDAP MANIPULATION TO REMOTE CODE EXECUTION DREAM LAND Alvaro Muñoz (@pwntester) Oleksandr Mirosh Who are we • Alvaro Muñoz (@pwntester) • Principal Security Researcher, HPE Fortify • Oleksandr Mirosh • Senior QA Engineer, HPE Fortify Agenda • Introduction to JNDI • JNDI Injection • RMI Vector • Demo: EclipseLink/TopLink • CORBA Vector • LDAP Vector • LDAP Entry Poisoning • Demo
Products & ServicesSecurity OperationsThreat ResearchAI ResearchNaked SecuritySophos Life The critical vulnerability in Apache’s Log4j Java-based logging utility (CVE-2021-44228) has been called the “most critical vulnerability of the last decade.” Also known as Log4Shell, the flaw has forced the developers of many software products to push out updates or mitigations to customers. And Log4j’s m
Javaのログ出力ライブラリであるApache Log4jでゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」について、概念実証コードが日本時間の2021年12月10日に公開されました。このLive4Shellを突いてリモートコード実行を可能にするエクスプロイトの確認報告がさまざまなところで挙がっていますが、このLog4Shellエクスプロイトが概念実証コード公開前の12月1日から2日にかけて行われていたことが判明しました。 Log4Shell attacks began two weeks ago, Cisco and Cloudflare say - The Record by Recorded Future https://therecord.media/log4shell-attacks-began-two-weeks-ago-cisco-and-c
米人事管理ソリューション大手のKronosの親会社UKGは12月12日(現地時間)、サイバー攻撃を受け、ほとんどのサービスが停止したと発表した。約10時間後、停止の原因はランサムウェアであり、「システム復元には最大数週間かかる可能性がある」と情報を更新した。 「影響を受けるお客様には、給与処理や業務管理など、重要なシステムを他社の代替サービスを評価することをお勧めする」としている。 ランサムウェア攻撃の手口については言及していないが、この報告のページには、「CVE-2021-44228として報告されている「Log4j」の脆弱性を認識している。弊社の環境には、悪用の試みを検出して防止するための予防的管理がある。Log4jの影響を受けるバージョンを特定してアップグレードするために、緊急パッチプロセスを呼び出した」というメッセージが表示されている。 Kronosは人事、勤怠、給与、スケジューリン
Jonathan Greig (Special to ZDNET.com) 翻訳校正: 編集部 2021-12-21 13:47 ベルギー国防省は、同省のネットワークが「Apache Log4j」の脆弱性を利用したサイバー攻撃を受けたことを認めた。 声明によれば、国防省は現地時間12月16日にインターネットに接続されたコンピュータネットワークが攻撃を受けていることに気づいたという。同省は、攻撃がランサムウェアによるものかどうかは明らかにしなかったものの、すぐに「感染した要素を封じ込める」ための「隔離措置」を講じたと説明している。 同省は、「ネットワークを運用可能な状態にしておくことを優先した。監視は今後も継続される。先週末を通じて、問題を封じ込め、運用を継続し、パートナーに警告を発するためにチームが動員された」と述べている。 「今回の攻撃は、先ごろ公開され、現在世界中のIT専門家が取り組ん
Log4j 脆弱性攻撃の遮断を開始した当ブログサイトのAWS WAF設定を紹介します | DevelopersIO
Log4j 脆弱性対策としてAWSブログで紹介されているAWS WAFのマネージドルールを利用した当ブログサイト(DevelopersIO)の保護設定と、副作用対策について紹介します。 AWSチームのすずきです。 AWSブログで紹介されている、Log4j 脆弱性対策として紹介されているマネージドルール「Log4JRCE」「AnonymouousIPList」「sizeRestrictions_BODY」を利用して、 当ブログサイト(DevelopersIO)の保護を行う機会がありました。 この過程で行ったマネージドルールの評価と、誤検知による副作用を回避する設定について紹介させて頂きます。 評価環境設定 先に紹介した「Log4JRCE」を含む AWSManagedRulesknownBadInputsRuleSet に加え、AWSManagedRulesCommonRuleSet、AWSM
VMSA-2021-0028.13
Scalable, elastic private cloud IaaS solution. Key Technologies: vSphere | vSAN | NSX | Aria
IBM Randori Recon
An attack surface management solution designed to uncover your exposures through the lens of an adversary IBM Randori Recon is an attack surface management SaaS that monitors internal and external attack surfaces for unexpected changes, blind spots, misconfigurations, and process failures. It is part of the IBM Security portfolio. Enterprise attack surface continues to expand with digital transfor
Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について | 警察庁 @police
概要 Javaでログ出力に使われるライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)に関する情報が、The Apache Software Foundationから公表されています。 12月10日以降、当該脆弱性を標的とした攻撃を観測しています。 「Apache Log4j」の脆弱性に対する攻撃の観測状況(グラフ) このグラフは、全国の警察施設のインターネット接続点に設置されたセンサーで観測したアクセス(件数)の1センサー当たりの平均の推移を示したものです。なお、このグラフは一時間毎に更新致します。また、今後の観測状況によっては、予告なく更新を停止する場合があります。 影響を受けるシステム Apache Log4j-core 2.15.0より前の2系のバージョン 対策 Javaで開発されているプログラムを利用している場合は、Apache Log4jの利用の有
To folks wondering what the issue is about, I'll give a short summary that I myself needed.Typically a logging library has one job to do: swallow the string as if it's some black box and spit it elsewhere as per provided configurations. Log4j though, doesn't treat strings as black boxes. It inspects its contents and checks if it contains any "variables" that need to be resolved before spitting out
Hackers start pushing malware in worldwide Log4Shell attacks
Threat actors and researchers are scanning for and exploiting the Log4j Log4Shell vulnerability to deploy malware or find vulnerable servers. In this article, we have compiled the known payloads, scans, and attacks using the Log4j vulnerability. Early Friday morning, an exploit was publicly released for a critical zero-day vulnerability dubbed 'Log4Shell' in the Apache Log4j Java-based logging pla
GitHub - christophetd/log4shell-vulnerable-app: Spring Boot web application vulnerable to Log4Shell (CVE-2021-44228).
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
log4j_rce_detection.md log4j RCE Exploitation Detection You can use these commands and rules to search for exploitation attempts against log4j RCE vulnerability CVE-2021-44228 Grep / Zgrep This command searches for exploitation attempts in uncompressed files in folder /var/log and all sub folders sudo egrep -I -i -r '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+' /var/log This
GitHub - cisagov/log4j-scanner: log4j-scanner is a project derived from other members of the open-source community by CISA to help organizations identify potentially vulnerable web services affected by the log4j vulnerabilities.
Configure your own DNS Server - Preferred) - Add DNS records to your domain. (example.com) A record with a value of your IP address (test.example.com -> ) NS record (ns1.example.com) with a value of the test.example.com as chosen above. Host a DNS server to log DNS requests made to your domain. Install the requirement modules -> pip3 install -r requirements.txt Modify the dns/ddnsserver.py script
GitHub - projectdiscovery/interactsh: An OOB interaction gathering server and client library
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
何でもできちゃう脆弱性ならそれでパッチを当てればいいんじゃない? ~とあるセキュリティ会社が掟破りの「Log4Shell」ワクチンを開発してしまう/【やじうまの杜】
マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】/「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。【やじうまの杜】
GitHub - YfryTchsGD/Log4jAttackSurface
オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に/情報収集の一助に【やじうまの杜】
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
log4shell/software at main · NCSC-NL/log4shell
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」?
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を
CVE-2021-44228 - GitHub Advisory Database
/blog/2021/12/microsofts-response-to-cve-2021-44228-apache-log4j2-jp/
Apache Log4j のためのホットパッチ | Amazon Web Services
本番環境でやらかしちゃったかもしれない話 2021-12-22 - Qiita
「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認
CVE-2021-44228 Log4jの脆弱性のAWS環境への影響 - Qiita
Exploiting JNDI Injections in Java | Veracode
Inside the code: How the Log4Shell exploit works
世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた
米人事管理大手のKronos、ランサムウェア攻撃でサービス数週間停止に
トレンドマイクロ、「Log4Shell」脆弱性の診断ツールを公開/自社組織への影響やトレンドマイクロ製品での対応をまとめた特設サイトも
ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃
Log4j RCE Found | Hacker News
Log4j RCE CVE-2021-44228 Exploitation Detection
qiita.com/kohki_takatama
www.hakutsuru.co.jp
l.smartnews.com
anond.hatelabo.jp
news.yahoo.co.jp
b.hatena.ne.jp/kamezo