アクティブ スキャン: RCE に対して脆弱な Log4j

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

サポートされている Log4j 脆弱性スキャナは、難読化された JNDI ルックアップを HTTP パラメータ、URL、テキスト フィールドに挿入し、スキャナの制御下にあるドメインへのコールバックを組み込みます。この検出結果は、難読化されていないドメインの DNS クエリが検出されると生成されます。このようなクエリは、JNDI ルックアップが成功し、アクティブな Log4j 脆弱性がある場合にのみ発生します。

顧客への対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

  1. 検出結果の詳細を確認するの手順に沿って Active Scan: Log4j Vulnerable to RCE の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

  2. [概要] タブで、次のセクションの情報を確認します。

    • 検出された内容
    • 影響を受けているリソース(特に次のフィールド):
      • リソースの完全な名前: Log4j RCE に対して脆弱な Compute Engine インスタンスの完全なリソース名
    • 関連リンク(特に次のフィールド):
      • Cloud Logging URI: Logging エントリへのリンク。
      • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
      • 関連する検出結果: 関連する検出結果へのリンク。

  3. 検出結果の詳細ビューで、[JSON] タブをクリックします。

  4. [JSON] で、次のフィールドを確認します。

    • properties
      • scannerDomain: JNDI ルックアップの一部としてスキャナが使用するドメイン。これにより、脆弱性を識別したスキャナを確認できます。
      • sourceIp: DNS クエリを行うために使用される IP アドレス
      • vpcName: DNS クエリが実行されたインスタンス上のネットワークの名前。

ステップ 2: ログを確認する

  1. Google Cloud コンソールで、ステップ 1 の [Cloud Logging URI] フィールドのリンクをクリックして、[ログ エクスプローラ] に移動します。

  2. 読み込まれたページで、悪用の試みを示す ${jndi:ldap:// のような文字列トークンがないか、httpRequest フィールドを確認します。

    検索する文字列やクエリの例については、Logging ドキュメントの CVE-2021-44228: Detect Log4Shell Exploit をご覧ください。

ステップ 3: 攻撃とレスポンスの手法を調査する

  1. この検出結果に対応する MITRE ATT&CK フレームワーク エントリ(リモート サービスの悪用)を確認します。
  2. 検出結果の詳細の [概要] タブで、[関連する検出結果] 行の [関連する検出結果] リンクをクリックして、関連する検出結果を確認します。関連する検出結果とは、同じインスタンスとネットワークで検出された同じタイプの検出結果のことです。
  3. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 4: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

次のステップ