Log4j の2つ目の脆弱性 CVE-2021-45046 が悪用されている:3つ目の脆弱性も浮上

Hackers Begin Exploiting Second Log4j Vulnerability as a Third Flaw Emerges

2021/12/15 TheHackerNews — 水曜日に、Web インフラ企業である Cloudflare は、幅広く利用されている Log4j ロギング・ユーティリティーの2つ目のバグを悪用しする脅威が存在することを明らかにした。パッチを適用していないシステムに対して、多様なマルウェアによる攻撃が続いているため、顧客は最新バージョンのインストールを迅速に行う必要がある。

この新しい脆弱性 CVE-2021-45046 は、敵対者にサービス拒否 (DoS) 攻撃を許してしまうものだ。つまり、Apache Software Foundation (ASF) が発表した、リモートコード実行バグ (CVE-2021-44228 Log4Shell) に対する最初の修正プログラムが、特定の非デフォルト・コンフィグレーションでは不完全であるということだ。その後、この問題は Log4j バージョン 2.16.0 で修正されている。

Cloudflare の Andre Bluehs と Gabriel Gabor は、「この脆弱性は積極的に悪用されているため、Log4j のユーザーは、2.15.0 にアップデートしている場合でも、可能な限り早急に 2.16.0 にアップデートすべきだ」と述べている。

さらに困ったことに、セキュリティ企業 Praetorian の研究者は、Log4j の 2.15.0 には3つ目のセキュリティ上の弱点があり、特定の状況下で機密データの流出を許す可能性があると警告している。この欠陥の技術的な詳細は、さらなる悪用を防ぐために伏せられているが、この問題が 2.16.0 で対処されているかどうかは、現状では分かっていない。

Praetorian の Principal Security Engineer である Anthony Weems は、「Ver 2.16 では、デフォルトで JNDI Lookup が無効化されているため、我々が知る限り最も安全な Log4j2 のバージョンとなっている」と述べている。Apache Logging Services Project Management Committee (PMC) は、「問題の性質と範囲を完全に理解するために、Praetorian のエンジニアと連絡を取っている」と回答している。

この展開は、Hafnium や Phosphorus などを抱える、中国/イラン/北朝鮮/トルコの高度持続性脅威 (APT) グループが、この脆弱性を運用し、影響を受けやすいシステムを探索/悪用し続け、それに続く攻撃を開始したことに行起因している。Log4j の脆弱性を悪用しようとする試みは、これまでに 180万件以上記録されている。

Microsoft Threat Intelligence Center (MSTIC) によると、アクセス・ブローカーが Log4Shell の欠陥を利用してターゲット・ネットワークへの初期アクセス権を獲得し、それを他のランサムウェア・グループに販売していることも確認されている。さらに、この欠点を利用したマルウェアは、暗号通貨コインマイナーや、リモートアクセストロイの木馬から、ボットネットやウェブシェルに至るまで、これまでに数十種類が確認されている。

新たに公開された脆弱性が修正される前に、その脆弱性が利用されることが多発しているが、今回の Log4j の欠陥は、ソフトウェアのサプライチェーンに起因するリスクを明確に示している。産業用サイバー・セキュリティ企業である Dragos は、「ベンダーを問わず、プロプライエタリ/オープンソースのソフトウェアの両方に影響を与える、この横断的な脆弱性は、電力/水道/食品/飲料/製造/輸送などの、幅広い業界をリモート操作の対象にすることになる」と指摘している。同社は、「ネットワークの防御側が、より単純な悪用経路を遮断し、高度な敵対者が、この脆弱性を攻撃に取り入れるようになると、Log4j 悪用に高度なバリエーションが出現し、OT ネットワークにダイレクトな影響を与える可能性が高くなる」と述べている。

本文には、「Ver 2.16 では JNDI Lookup が無効化された」と記されていますが、Security Boulevard の 「Log4Shell – The API Security Challenge」では、この Lookup について、「開発者がログに変数を挿入することを可能にするというハデな機能」だと説明されています。ただ、Lookup を止めてしまうと動かなくなるログ・システムも多々あるはずなので、どこまで具体的な効果があるのだろうと、考えてしまいます。すでに Ver 2.17 がリリースされているようですが、早く問題の範囲が確定すると良いですね。なお、上記の Security Boulevard の記事も訳していますので、もう少し、お待ち下さい。→ Log4j まとめページ

%d bloggers like this: