40% of Corporate Networks Targeted by Attackers Seeking to Exploit Log4j
2021/12/14 DarkReading — Log4j の脆弱性が、インターネット・セキュリティにとって最大の脅威の1つであるという初期の懸念は、週末に爆発的に増加した脆弱性の悪用と悪用活動により早急に確認されており、企業が行うべき修復作業の膨大さが明らかになっている。
月曜日に Check Point は、この脆弱性 Log4Shell が 12月9日にが公開されて以来、それを顧客のネットワーク上で狙うスキャンを、すでに84万6,000件もブロックしたと発表した。また、世界中の企業ネットワークの約40%が、この脆弱性を悪用しようとする活動の標的になっているとも述べている。
Check Point によると、この脆弱性の悪用が、1分間に100回も確認されたこともあるとのことだ。同社は、これまでに顧客のネットワーク上で観測した悪意のアクティビティうち、約半数の 46% は既知の悪意のグループによるものだと述べている。
ユーザー企業にとって不安なことは、最初にGitHubに投稿された、この脆弱性悪用の新たなバリエーションが、急速なペースで出現していることだ。この24時間の間に、Check Point の研究者たちは、60以上の悪用のバリエーションを確認した。Log4Shell は、HTTP や HTTPS を含む複数の悪用方法があるため、1 つの防御手段だけではもはや十分ではない。
同様の動きは他からも多数報告されている。たとえば Sophos は、この欠陥を攻撃しようとする試みを、数十万回も観測したと述べている。これらの多くは、脆弱性のスキャン/悪用テスト/脆弱かしたシステムへのコインマイナーのインストールといった試みだった。Sophos の研究者たちは、この欠陥を利用して、Amazon Web Services (AWS) などのクラウドサービスから、暗号鍵などの機密データを抽出しようとする攻撃者を確認している。
その一方で、Cisco Talos の分析によると、Log4Shell を悪用しようとする最初の試みは、12月2日に行われたとのことだ。 また、12月9日に欠陥が公開される前に、悪用が数週間にわたって行われていた可能性があると、指摘する声もある。Cisco は、この欠陥を追跡調査している他のセキュリティ・ベンダーと同様に、これまでの Log4Shell に関連する悪意のアクティビティの大半は、コインマイナーやボットネットの運営者によるものだと述べている。しかし、金銭的な利益やスパイ活動を目的とする脅威アクターたちが、この脆弱性を利用して、標的ネットワークへのアクセスを開始するのは時間の問題だろう。
Cisco Talos の Senior Threat Researcher である Vitor Ventura は、「コインマイナーやボットネットのオペレーターが、この脆弱性を早期に採用することは驚くには値しない。それは、過去数年間に観察されたパターンと一致している。つまり、悪用の背後にいるグループは、できるだけ多くの新しいシステムを手に入れようと、新しいエクスプロイトを素早く採用するということだ」と述べている。
危険で簡単に悪用できる欠陥
Log4j は、大半の Java アプリケーションに共通して搭載されているロギングツールである。このツールには脆弱性 CVE-2021-44228 が存在するため、Log4j を使用するあらゆるアプリケーション上で、攻撃者は任意のコードをリモートから実行できる。専門家たちは、この欠陥は有りふれたものであり、脆弱なロギング・フレームワークを使用しているネットワーク上で、攻撃者に対して足場を確保する方法を与えていると述べている。
脆弱性が存在するソフトウェアは、ユーザー企業が日常的に使用しているサーバーやサービスにも組み込まれている。影響を受けるソフトウェアやサービスとしては、企業が社内で開発したものや、Amazon/Cloudflare/ElasticSearch/Pulse Secure/VMware/Google/Apache Solr などのサードパーティから提供されるものがある。
この脆弱性は、組織が使用している API に存在する可能性もある。そのため、組織がロギング・フレームワークを直接に使用していなくても、脆弱な API があれば攻撃にさらされる可能性があると、Noname Security は警告している。Java Packing 動作方法により、脆弱なアプリケーションの特定が困難になりやすい。
Huntress Labs の研究者である John Hammond は、「たとえば、Java Archive (JAR) ファイルには、Log4j ライブラリを含むすべての依存関係が含まれている。さらに、JAR ファイルには、別の JAR ファイルが含まれている可能性もある。結局のところ、すべての組織が何らかの形で、この脆弱性の影響を受けている可能性が高い。つまり、Managed Service Providers (MSP) が使用している、かなりの数のソフトウェアが含まれている」と述べている。
彼は、「極めて高い確率で、ほぼ確実に、すべての人が、この脆弱性が隠れているソフトウェアやテクノロジーに接していることになる。今のところ、攻撃や悪用の対象として明確なものはない。この脆弱性は、どこにでも存在し、悪用は非常に容易であるため、標的というものは存在しない」と付け加えている。
対策における課題
この脆弱性を緩和するためには、外部に面したサーバーやアプリケーション以外にも目を向ける必要があるかもしれない。Cisco Talos の研究者によると、攻撃者による膨大なスキャン量と、ネットワーク上の脆弱なシステムからのコールバック用との間に、ギャップが見られるケースがあるとのことだ。これは、組織の内部における、ログ収集システム や SIEM システムなどでも、エクスプロイトが発生していることを示唆している。
Vitor Ventura によると、典型的な応答時間はほぼ瞬時であるが、データを一括して処理するバックエンド・システムが存在する可能性もあるという。彼は、「たとえば、電子メールを分析するシステムでは、ログの処理に数分かかることがある。これは、バックエンド・システムであっても、この脆弱性にさらされる可能性の有無を検証する必要があることを示している。ユーザーが入力した情報を処理するようなシステムは、すべて見直しが必要だ。これは単に、この脆弱性の範囲の広さを反映ものだ」と述べている。
アナリスト企業である Forrester Research は、企業が脅威を軽減するタスクを、予防と検知/ベンダーリスクの管理/脅威の性質に関する社内外のコミュニケーションという、3つの流れに分けて考えることを推奨している。同社のアナリストである Allie Mellen は、「そのためには、社内やベンダーとの間で脆弱性を管理すること、そして、攻撃も対する防御や迅速な対応を可能にするための、多面的な取り組みが必要だ」と述べている。
彼女は、「セキュリティ・チームと IT チームは、この脆弱性の影響を受ける社内システムの有無を確認し、それらのシステムにパッチを適用する必要がある。また、セキュリティ・ツールを含め、現状のビジネスで使用している全てのベンダーを追跡し、どのシステムにパッチを適用する必要があるのかを確認し、ベンダーから時期に関する状況報告を受ける必要がある」と付け加えている。
Allie Mellen は、「ベンダーによっては、脆弱性への対応に数ヶ月を要するケースもあるようだ。しかし、ユーザー企業は、パッチを迅速に発行するベンダーがあるなら、タイムリーにソフトウェアを更新することを優先する必要がある。IT チームは、すべてのシステムに一度にパッチを当てることはできない。したがって、パッチの適用とテストのスケジュールを立てる必要がある。また、セキュリティ・オペレーション・チームは攻撃を監視し、脅威に対する高い状況認識を維持する必要がある。肝心なことは 、それら全てが、クロス・ファンクショナルなものだということだ」と結論づけている。
イスラエルの諜報機関でサイバー部門の責任者を務め、現在は Mitiga の COO である Ariel Parnes は、「組織が確認すべきことには、すでに侵入が生じていることの有無がある。この脆弱性は、何年も前から存在している。攻撃者は、この脆弱性を利用して、既に顧客の環境を攻撃している可能性があるため、すでに侵害が行われていないかどうかを確認する必要がある」と述べている。Mitiga は、ユーザー組織が、AWS 上の脆弱な資産を見つける方法を説明したブログ記事を公開している。
本文にもリンクを貼ってありますが、Check Point の Protect Yourself Against The Apache Log4j Vulnerability と、Sophos の Log4Shell Hell: anatomy of an exploit outbreak は、時間があったら、ゆっくりと呼んでみたい内容です。ただ、こうして記事を訳している間にも、新しい情報がどんどん出てくるので、それらを追いかけるだけで手一杯という感じです。その意味で、この Dark Reading は助かります。
IoT OT Security News 