CISA warns ‘most serious’ Log4j vulnerability likely to affect hundreds of millions of devices
2021/12/13 CyberScoop — 月曜日の電話ブリーフィングで、Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly は業界のリーダーたちに、広く使用されているロギング・ライブラリの脆弱性 CVE-2021-44228 について、「最も深刻ではないにしても、これまで見てきた中で最も深刻なものの1つである」と述べた。
Apache Log4j の脆弱性について、「この脆弱性は巧妙な脅威アクターにより、広く悪用されることが予想され、また、被害の可能性を低減するために必要な措置を講じる時間は限られている」と述べた。この問題は、認証を必要としないリモートコード実行の脆弱性であり、侵入者による侵害したデバイスの乗っ取りが生じる可能性がある。
CISA Vulnerability Management Office の Jay Gazlay は、重要インフラの所有者/運営者との電話会議で、数億台のデバイスが影響を受ける可能性があると述べている。
米国国土安全保障省 (Department of Homeland Security) の一部門である CISA は、早ければ火曜日にも専用の Web サイトを立ち上げ、情報提供を進めると同時に、活発な偽情報への対策を行うと、Executive Assistant Director for Cybersecurity である Eric Goldstein が述べている。同氏は、「この脆弱性を利用すると、リモートの攻撃者が、脆弱なシステムを容易に制御できる」と述べている。CISA は、オーストリア/カナダ/ニュージーランド/英国などの政府機関とともに、この週末に警告を発しており、今回の業界への説明会は、世界各国の政府機関による最新の警告となった。
Eric Goldstein は、「CISA は、暗号解読者からランサムウェア・グループにいたるまで、あらゆる種類の攻撃者が、この脆弱性を利用すると予想している。現時点では、サプライチェーンを利用した攻撃が行われているという証拠はない」と述べている。Jay Gazlay は、「あらゆる組織が安全になるために必要なのは、持続的な努力であり、Apache のパッチを適用した後も、注意を払う必要がある。この問題を解決する、唯一の方法というものはない。1〜2週間で解決できると考えるのは間違いだ」と述べている。Jen Easterly のアドバイスは、「企業はクリスマス休暇中にセキュリティ・チームの人員を確保し、簡単に悪用できる弱点を塞ぐために必要な、すべての手段を講じ、通常よりも多くの情報を CISA と共有することだ」というものだ。
Jen Easterly 、7月に CISA を引き継いだが、2002年から国家安全保障政策の問題に取り組んできた。1時間にわたる電話会議では、CISA の担当者が銀行/病院/地方自治体などの代表者から質問を受けていた。
CISA も Log4j の脆弱性について、重要インフラの所有者/運営者に警告を発するようになりました。このブログでも、関連記事は4本目となりますが、まだまだ続報が出てくるでしょう。「Log4j Java library の深刻なゼロデイ脆弱性 CVE-2021-44228 に対処するには?」や、「Apache Log4Shell 脆弱性:Cybereason がワクチン Logout4Shell を発表」、「Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike」なども、ご参照ください。
IoT OT Security News 