Researchers release ‘vaccine’ for critical Log4Shell vulnerability
2021/12/10 BleepingComputer — サイバー・セキュリティ企業 Cybereason の研究者たちは、インターネット上で猛威を振るっている、Apache Log4j に存在するコード実行脆弱性 Log4Shell を、リモートから緩和させるワクチンを発表した。Apache Log4j とは、Webサーバーのアクセスログや、アプリケーションのログを分析するための、Java ベースのロギング・プラットフォームである。このソフトウェアは、エンタープライズおよび eコマース・プラットフォームなどで多用され、本日未明にパッチ版が配布された Minecraft などのゲームでも利用されている。
今朝早く、研究者たちは、CVE-2021-44228 として追跡されている、Apache Log4j のゼロデイ・リモートコード実行の脆弱性の PoC エクスプロイトをリリースし、この脆弱性に Log4Shell という名を付けた。Apache は、この脆弱性を解決するために、直ちに Log4j 2.15.0 をリリースしたが、この脆弱性の悪用は簡単であり、また、攻撃者たちによる脆弱なデバイスのスキャンが始まっているのを、サイバー・セキュリティ企業の研究者たちが確認している。
脅威アクターたちは、Web ブラウザのユーザー・エージェントを変更して脆弱なサイトを訪問し、サイト上で文字列を検索するだけで、この脆弱性を悪用できる。そのため、各種のエンタープライズや、Web 上の人気サイトとっては、あっという間に悪夢が始まってしまったことになる。
Log4Shell 用のワクチンをリリース
金曜日の夜に、サイバー・セキュリティ企業である Cybereason は、この脆弱性を活用することで、脆弱な Log4Shell インスタンスの設定を、リモートから OFF にするスクリプトを、つまりワクチンを、リリースした。基本的に、このワクチンは、脆弱性のあるサーバーを「悪用」することで脆弱性を修正するものとなる。
このワクチン・プロジェクトは、Logout4Shell と呼ばれている。具体的には、Java ベースの LDAP サーバーの設定をたどるものであり、リモートの Log4j サーバーの trustURLCodebase 設定を無効にし、この脆弱性を緩和する Java ペイロードを含んでいる。
Cybereason は、GitHub の Logout4Shell Pageで「この脆弱性に対する最善の緩和策は、log4j を 2.15.0以上にするためのパッチを当てることだ。Log4j の Ver 2.10 以下では、システム・プロパティ log4j2.formMsgNoLookups を True に設定するか、クラスパスから JndiLookup クラスを削除すれば、この動作を緩和できる」と説明している。
同社は、「サーバーに Java ランタイム Ver 8u121 がある場合には、デフォルトで com.sun.jndi.rmi.object.trustURLCodebase および com.sun.jndi.cosnaming.object.trustURLCodebase が False に設定されているため、このリスクは軽減される」と付け加えている。
このワクチンは、自身で管理している環境において、脆弱性を迅速に無効化するための、有用なツールに思えるかもしれない。しかし、脅威アクターが、違法行為のために利用する懸念があることも明らかだ。デバイスに侵入した脅威アクターが、他のハッカーの侵害によるサーバーの乗っ取るり阻止するために、脆弱性にパッチを当てることはよくあることだ。
また、セキュリティ研究者が、この脆弱性を利用して、サーバーを遠隔操作で修正するにしても、この種の行為が違法とされている点も懸念される。
しかし、脆弱なデバイスをオフラインにするために、このエクスプロイトを悪用する脅威アクターの動きは止まらない。過去には、脆弱性のあるルータをマルウェア BrickerBot がオフラインにする事例や、グレーハットがインターネット接続されたプリンタを利用して警告を発し、オフラインにするような事例もあった。
Cybereason に対して、Logout4Shell プロジェクトが悪用される心配について尋ねたところ、同社の CTO である Yonatan Striem-Amit は、いまの状況では、悪用の可能性を上回るメリットがあると答えている。
彼は「悪用の可能性は常にあるが、計算できるリスクの問題だ。この脆弱性は非常に重要で、すでにインターネット上で大量に悪用されているため、世界中の防衛者たちが貴重な時間を稼げるように、何かを提供しなければならない。影響の観点からすると、2017年5月〜7月に、Equifax から情報を盗むために悪用された Apache Struts の脆弱性のケースと類似している」と付け加えている。
Logout4Shell を試したい場合には、このプロジェクトの GitHub ページを参照してほしい。
脆弱性を利用した、ワクチンというソリューション (?) があるのですね。それが違法であっても、このような事態では許されるのか? それを見越して、さらに悪質な詐欺行為などが登場するのか? 考えると切がありませんが、それだけ困った状況にあり、また、混乱が広がっているのだと思います。Log4Shell に関しては、どんどんと続報を出していきます。
IoT OT Security News 