ロシアのスパイグループが Log4Shell の悪用を開始:APT28/Turla/Ursnif などによる探索を検知

Russian Cyberspy Groups Start Exploiting Log4Shell Vulnerability

2021/12/17 SecurityWeek — 先日に公開された、Log4Shell の脆弱性を狙う国家のリストにロシアが追加されたが、すでに複数のロシアン・サイバースパイ・グループが悪用を試みている。この、CVE-2021-44228/Log4Shell/LogJam として追跡されている、Log4j の脆弱性の悪用は 12月初旬に始まっている。最初の攻撃報告では、暗号通貨マイナー/DDoS マルウェア/ランサムウェア/悪意のプログラムの配信などの、利益を追求するサイバー犯罪者に関連する活動が報告されていた。

その後の 12月14日に Mandiant は、中国やイランの国家支援を受けた脅威アクターが Log4Shell の悪用を確認したと報告している。その翌日には Microsoft が、中国/北朝鮮/イラン/トルコに関連する活動を確認したと発表した。

そして金曜日に、サイバー・セキュリティの格付けとリスク管理を行うSecurityScorecard が、中国とロシアの APT に関連するとされる、偵察活動を確認したと報告している。中国の場合は APT10、ロシアの場合は APT28/Turla/Ursnif/Grizzly Steppe などの名前が挙げられている。

興味深いことに、SecurityScorecard の分析では、以前に Drovorub ドメインに結びついていた IP アドレスも示されている。Drovorub とは、米国の情報機関が 2020年の夏に、ロシアの APT28 と関連づけた謎のマルウェアである。当時、NSA と FBI は警告を発していたが、2021年2月の時点で SecurityWeek が SecurityScorecard に問い合わせたところ、このマルウェアの実際のサンプルを発見していなかった。

Advintel は、サイバースパイ・グループに加えて、ランサムウェア・グループ Conti が、VMware vCenter サーバーに対して Log4Shell を悪用していたと報告している。

CVE-2021-45046 がクリティカルに

脆弱性 CVE-2021-44228 もは、12月6日の Log4j 2.15.0 のリリースでパッチが適用された。しかし、この修正は、デフォルト以外の特定コンフィグレーションでは不完全であると判明し、サービス拒否 (DoS) 攻撃につながる可能性が残された。

この問題に対して、新たに CVE-2021-45046 が割り当てられた。そして、この脆弱性を修正し、攻撃に悪用される機能をブロックするためも、Ver 2.12.2/2.16.0 の更新プログラムがリリースされた。

当初、CVE-2021-45046 に CVSS 3.7 が割り当てられていたが、さらなる分析の結果、CVSS 9 が割り当てられ、Critical Severity となった。悪用されると、情報漏えい/ローカルコード実行/リモートコード実行につながる可能性があることを研究者が発見したことで、この深刻度にアップグレードされた。

水曜日には Cloudflare が、CVE-2021-45046 を標的とする悪用の試みを確認したと発表した。金曜日に SecurityWeek は、これらの攻撃に関する詳細情報を求めて同社に連絡したが、データを共有することはできなかった。

木曜日には、Cloudflare が Log4Shell 攻撃の急増を報告し、特定の時間帯において1分間に10万件以上の攻撃を確認したとしている。なお、Log4j 2.16.0 は、CVE-2021-44228/CVE-2021-45046 の双方にパッチを提供しているため、このログ・ユーティリティを使用している企業には、2.16.0 へのアップデートが推奨されている。

また、Log4Shell の脆弱性は、脆弱なサーバーに対して特別に細工されたリクエストを送信することで、問題を引き起こすとされていたが、悪意の Web サイトにアクセスするとでも悪用が可能であることが、最近になって判明した。しかし、現在のところ、この方法が悪意の目的に使用されたという証拠は存在していない。

Log4Shell が公開されてから1週間が経過したが、クラウド・セキュリティ企業である Wiz が、企業のクラウド環境をスキャンしたところ、脆弱性のあるリソースのうちパッチが適用されているのは 30% に留まっていることが判明した。

徐々にですが、悪用に関する情報がメディアに流れ始めていますね。しかも、CVE-2021-44228 だけではなく CVE-2021-45046 も、その悪用の範囲に入っているようです。気になるのは、Wiz のクラウド・スキャンです。70% の Log4j が、またパッチ未対応というのは、ちょっと驚きですが、それぞれに、それなりの事情があるのでしょう。なお、文中の Conti の Log4j 参入に関しては、明日のポストで紹介する予定です。→ Log4j まとめページ

%d bloggers like this: