平素よりTreasure Data CDPをご利用いただき誠にありがとうございます。
2021年12月11日にJPCERTコーディネーションセンターより発表された、Apache Log4j ライブラリの脆弱性 (CVE-2021-44228) につきまして、Treasure Data CDPへの影響をご報告いたします。本記事はSecurity Update on Log4j 0-Day Vulnerability の日本語要約記事となっております。
弊社では、本脆弱性に関する緩和措置を完了しており、現在行っている調査では、トレジャーデータのプラットフォームに保存されているデータの機密性、完全性、可用性に影響を受けていないことを確認しております。また、弊社サービスからのお客様情報の漏洩はございません。
背景
2021年12月10日Apache Log4jのバージョン2.0から2.14.1に影響するセキュリティの脆弱性が公開されました。この脆弱性は、Javaロギングライブラリlog4j2のゼロデイ・エクスプロイトによって明らかになっており、悪意のあるペイロードがログに書き込まれるシナリオを悪用して、攻撃者にリモートコード実行(RCE)を行われる可能性があります。
2021年12月10日、NISTは重要な共通脆弱性識別子CVEアラート(CVE-2021-44228)を公開しました。具体的には、設定、ログメッセージ、パラメータに使用されるJava Naming Directory Interface(JNDI)の機能が、攻撃者が制御するLDAPや他のJNDI関連のエンドポイントから保護されておらず。ログメッセージやログメッセージのパラメーターを制御できる攻撃者によって、メッセージのルックアップ置換機能を悪用して、リモートサーバーから読み込まれた任意のコードを実行できるという脆弱性になっています。
トレジャーデータ における脆弱性対応
弊社では、脆弱性を即座に認識し、その影響を把握するため下記の対象での調査を開始しました。
- トレジャーデータが管理するソースコードやサービス
- トレジャーデータのクライアントライブラリ
- トレジャーデータのプラットフォームに組み込まれているサードパーティのサービス
弊社管理下のシステムにて脆弱性を持つLog4jを利用している場合、すべてライブラリバージョンを2.15以降にアップグレードするか、起動時の設定に「log4j2.fatumeMsgNoLookups=True」フラグを追加する対応を実施済みとなっております。さらに、WAFによるネットワークベースのコントロールを追加し、緩和措置を完了していないサードパーティのサービスに対する可視性と保護を強化しています。なお、トレジャーデータでは、クライアントのライブラリが本脆弱性の影響を受けないことを確認しています。
今後について
トレジャーデータでは引き続き状況を監視し、必要に応じて本件に関するアップデートをお知らせします。今回の脆弱性によるお客様の対応は現時点では必要ありません。トレジャーデータは、この脆弱性に対する対応に漏れを出さぬよう、サードパーティのサービスとの連携を続けていきます。