Log4j 脆弱性:WebSocket を介した新たな攻撃ベクターと参入ランサムウェア

New Local Attack Vector Expands the Attack Surface of Log4j Vulnerability

2021/12/18 TheHackerNews — サイバー・セキュリティ研究者たちが、JavaScript による WebSocket 接続を介して、ローカル・サーバー上の Log4Shell 脆弱性を悪用するという、まったく新しい攻撃ベクターを発見した。

Blumira の CTO である Matthew Warner は、「今回発見された攻撃ベクターは、ローカルでプライベートなマシンやネットワーク上で、脆弱なバージョンの Log4j を持つ環境であれば、Web サイトの閲覧から脆弱性がトリガーされることを意味している。現時点では、積極的に悪用されたという証拠はないが、この方法により攻撃対象が大幅に拡大し、ネットワークにさらされていない localhost として動作しているサービスにも、影響がおよぶ可能性がある」と述べている。

WebSocket は、クライアントがリクエストを送信し、サーバーがレスポンスを送信するという一方向性の HTTP とは異なり、Web ブラウザなどのクライアント・アプリとサーバーの間で、双方向の通信を可能にしている。この問題は、ローカルの開発環境および、インターネットに接続する環境を、Log4j 2.16.0にアップデートすることで解決できるが、金曜日に Apache は Ver 2.17.0をリリースしている。このバージョンでは、CVE-2021-45105 (CVSS:7.5) として追跡されている、サービス拒否 (DoS) の脆弱性が修正されている。この脆弱性 は、CVE-2021-45046/CVE-2021-44228 に続いて明らかになった、3つ目の Log 4j2 脆弱性である。

最初のリモートコード実行のバグが公開された後に、現在までに、このロギング・フレームワークで発見された脆弱性リストは以下の通りだ。

  • CVE-2021-44228 (CVSS : 10.0) – Log4j の 2.0-beta9 〜 2.14.1 に存在するリモートコード実行の脆弱性 (Ver 2.15.0 で修正)
  • CVE-2021-45046 (CVSS : 9.0) – Log4j の 2.0-beta9 〜 2.15.0 (2.12.2 を除く) に存在する、情報漏えい/リモートコード実行の脆弱性 (Ver 2.16.0 で修正)
  • CVE-2021-45105 (CVSS : 7.5) – Log4j の 2.0-beta9 〜 2.16.0 に存在するサービス拒否の脆弱性 (Ver 2.17.0 で修正)
  • CVE-2021-4104 (CVSS : 8.1) – Log4j Ver 1.2 に存在する、信頼されないデシリアライズの欠陥 (修正プログラムは存在しない。Ver 2.17.0 へのアップデートが必要)

    インシデント対応会社である BreachQuest の CTO である Jake Williams は、「Log4j に新たな脆弱性が発見されたことは、このライブラリが注目されていることを考えれば、驚くべきことではない。「Log4j と同様に、今年の夏に PrintNightmare の脆弱性が公開されたことで、複数の異なる脆弱性が新たに発見さた。Log4j に追加の脆弱性が発見されたからといって、log4j 自体のセキュリティを心配する必要はない。むしろ、研究者が注目したことで、Log4j の安全性は高まっている」と述べている。

    こうした情報の整理は、ロシアを拠点とする Conti が関与するランサムウェアの感染や、Khonsari という新しいランサムウェアなど、数多くの脅威アクターが Log4j の欠陥を利用して様々な攻撃を仕掛けてきたことに起因している。Sangfor と Curated Intel の研究者たちによると、Log4j のリモートコード実行の欠陥は、TellYouThePass と呼ばれる第3のランサムウェアにも影響を与えており、Windows/Linux デバイスに対する攻撃に使用されているとのことだ。

Bitdefender のハニーポットが活発な Log4Shell ゼロデイ攻撃を捕捉

ルーマニアのサイバー・セキュリティ企業である Bitdefender は、攻撃の 50% 以上が Tor という匿名サービスを利用して、出自を隠していると指摘している。同社の Technical Solutions Director である Martin Zugec は、「言い換えれば、Log4j を悪用する脅威アクターは、意図したターゲットに近いマシンを経由して攻撃を仕掛けている。12月11日〜12月15日に収集されたリモート測定データによると、ドイツと米国だけで、悪用の試みの 60% を占めている。観測期間中に最も多かった攻撃対象は、米国/ドイツ/カナダ/英国/ルーマニア/オーストラリア/フランス/オランダ/ブラジル/イタリアだった」と述べている。

Google 調査:35,000 以上の Java パッケージが Log4j 脆弱性の影響を受ける

Google の Open Source Insights Team の分析によると、Maven Central リポジトリの 8% 以上を占める、約 35,863個の Java パッケージが、脆弱な Apache Log4j ライブラリを使用していることが判明している。しかし、影響を受けるアーティファクトのうち、Log4j ダイレクトに依存しているパッケージは約 7,000個に過ぎない。

Google の James Wetter と Nicky Ringland は、「ユーザーが自身の依存関係や推移的な依存関係を可視化できないため、パッチの適用が難しくなっている。また、この脆弱性の影響範囲を、完全に把握することも困難だ。しかし、影響を受けたパッケージのうち 2,620 個は、公開から1週間も経たないうちに修正されたという良い面もある」と述べている。

BreachQuest の Jake Williams は、「Log4j の脆弱性の影響を完全に理解するまでには、まだ時間が必要になりそうだが、その理由は、Log4j が数多くのソフトウェアに組み込まれている点にある。それは、脅威となるマルウェアとは関係なく、このライブラリが埋め込まれている、無数の脆弱な場所を見つけるのが難しいということだ。この脆弱性自体は、特権昇格や横移動を行う脅威アクターに、最初のアクセスを提供するものであり、その後に真のリスクが浮上する」と述べている。

世界中のサイバー・セキュリティ研究者たちが、Log4Shell 脆弱性を悪用について、調査を継続してくれています。有難いことです。そして、JavaScript による WebSocket 接続を介した、まったく新しい攻撃ベクターが発見されましたが、Log4j 2.16.0へのアップデートで解決されるとのことです。気になるのは、Google が調査した Java パッケージの話です。もう少し詳しい記事を、いま訳していますので、お待ちください。→ Log4j まとめページ

%d bloggers like this: