Log4j Java library の深刻なゼロデイ脆弱性 CVE-2021-44228 に対処するには?

New zero-day exploit for Log4j Java library is an enterprise nightmare

2021/12/10 BleepingComputer — ユビキタスな Java ベースのロギング・ライブラリである Apache Log4j の、深刻なゼロデイ脆弱性の PoC エクスプロイトがオンラインで共有されたことで、ホーム/エンタープライズ・ユーザーが、リモートコード実行の攻撃にさらされる可能性が生じている。

Apache Foundation により開発された Log4j は、エンタープライズおよびクラウドにおいて、広範囲に利用されている。すでに、ホームユーザーは Java から離れたかもしれないが (Minecraft などのゲームでは依然として使用されている)、エンタープライズ・ソフトウェアから Web アプリにいたるまで、また、Apple/Amazon/Cloudflare/Twitter/Steam などのサービスにおいても、この脆弱性を狙った RCE 攻撃に対して脆弱である可能性が高いと言える。

継続的なスキャンと脆弱性のあるシステムの悪用

この脆弱性 CVE-2021-44228 は、Log4Shell または LogJam と呼ばれており、Log4j 2.0-beta9〜2.14.1 のバージョンにおいて、システムを完全に乗っ取ることができる、認証を必要としない RCE の欠陥である。

11月24日に、Alibaba Cloud のセキュリティ・チームから、Apache に報告があった。そして Apache は、この CVE-2021-44228 が、Apache Struts2/Apache Solr/Apache Druid/Apache Flink などのフレームワークの、デフォルト設定に影響を与えることを明らかにした。

昨日になって、最初の PoC エクスプロイトが GitHub で公開された後に、この認証を必要としないリモートから悪用可能なセキュリティ上の欠陥を狙って、脅威アクターたちが脆弱なシステムをインターネット上でスキャンし始めた[1, 2]。

さらに、CERT NZ (New Zealand’s national Computer Emergency Response Team) 、この脆弱性がワイルドに悪用されていると警告する、セキュリティ勧告を発表した。その一方で、Nextron Systems の 研究責任者である Florian Roth は、CVE-2021-44228 を悪用する試みを、検出するための一連の YARA 規則を共有している。

パッチと緩和策の提供

Apache は、深刻度の 10.0 の CVE-2021-44228 RCE 脆弱性に対処するために、Log4j 2.15.0 をリリースした。また、以前のリリース (2.10 以降) においても、システム・プロパティ「log4j2.formMsgNoLookups」を「true」に設定するか、クラス・パスからJndiLookup クラスを削除すれば、この欠陥を緩和することが可能だという。

このライブラリーを使用している場合には、すでに悪用可能なターゲットとして脅威アクターに探し出されている可能性を考慮し、早急に最新リリースにアップグレードすることが推奨されている。

Randori Attack Team は、「Heartbleed や Shellshock のような、これまでに有名になった脆弱性と同様に、これからの数週間のうちに発見される脆弱な製品/サービスの数は増加するだろう。悪用が容易であり、適用範囲が広いため、ランサムウェア/アクターは、この脆弱性を直ちに利用し始めると思われる」と述べている。

セキュリティ企業である Lunasec も、CVE-2021-44228 RCE エクスプロイトを悪用する攻撃の深刻さを強調している。同社は、「数多くのサービスにおいて、この脆弱性を悪用される。Steam や Apple iCloud などのクラウ・ドサービスや、Minecraft などのアプリで、すでに脆弱性が発見されている。Apache Struts を使用するケースでは、すべてが脆弱になっている可能性がある。2017年の Equifax データ漏洩のような侵害において、同様の脆弱性が悪用されたことを知っている」と述べている。

金曜日の夜に、サイバー・セキュリティ企業である Cybereason の研究者は、リモートの脆弱な Log4j サーバーの脆弱性を緩和するために、その設定を変更する Logout4Shell というワクチン・パッケージを公開した。

Apache Log4j の脆弱性 CVE-2021-44228 ですが、たいへんな騒ぎになっていますね。このブログは、翻訳者リソースの関係で 🙂 米時間に対してほぼ一週間遅れで記事をポストしているので、すでにご存知の情報となってしまいますが、このあと、関連記事がたくさん出てきます。次回は、Logout4Shell ワクチンの説明記事の予定です。

%d bloggers like this: