Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく

Microsoft Warns of Continued Attacks Exploiting Apache Log4j Vulnerabilities

2022/01/04 TheHackerNews — Microsoft は、オープンソースのロギング・フレームワーク Log4j に存在する脆弱性の悪用により、システムにマルウェアを展開しようとする試みが、国家支援ハッカーやコモディティ攻撃者により継続されていると警告している。Microsoft Threat Intelligence Center (MSTIC) は、今週の初めに発表したガイダンスの改訂版で、「12月の最後の数週間、攻撃の試みとテストが高水準で推移している。既存の攻撃者の多くが、コインマイナーからハンズオン・キーボード攻撃にいたるまで、一連の Log4j 脆弱性の悪用を、既存のマルウェア・キットや戦術に追加していることが確認されている」と述べている。

2021年12月10日に Apache Software Foundation が公開した、Apache Log4j 2 のリモートコード実行 (RCE) 脆弱性 (Log4Shell) は、様々な脅威アクター広範囲に悪用する、新たな攻撃ベクターとして浮上した。

その後の数週間で、さらに4つの脆弱性 (CVE-2021-45046/CVE-2021-45105/CVE-2021-4104/CVE-2021-44832)が明らかになり、脅威アクターにより侵入されたマシンの持続的な制御を許すことになり、暗号通貨マイナーからランサムウェアにいたるまで、一連の攻撃を仕掛けられる状況になっている。

攻撃者たちは、大量のスキャンを試みた後に、自身が管理するサイトへのリクエストを実行するために Log4j の JNDI を利用している。また、Web リクエスト・ログを生成する悪意の HTTP リクエストを難読化することで、文字列照合による検出を回避する動きも見られる。


Microsoft は、「この脆弱性の悪用について、Mirai のような既存のボットネットへの取り込みや、暗号通貨マイナー展開のために 脆弱な Elasticsearch システムを標的にするキャンペーン、Linux システムに Tsunami バックドアを展開する動きを観測した。また、Log4Shell を利用することで、Meterpreter/Bladabindi (NjRAT)/HabitsRAT などのリモートアクセス・ツールキットやリバースシェルが投下されている」と述べている。

MSTIC は、「現時点では、エクスプロイト・コードやスキャン機能が広範に利用され、顧客の環境にとって現実的かつ喫緊の危機が迫っていると考えるべきだ。影響を受けるソフトウェアやサービスの数が多く、更新のペースも速いため、修復までの期間が長くなることが予想され、継続的かつ持続的な警戒が必要となる」と述べている。

また、米国連邦取引委員会 (FTC) は、「Log4j または、同様の脆弱性の結果として、消費者データを流出させないための、合理的な保護措置を講じなかった企業を、法的権限をフルに活用して追及する意向だ」との警告を発している。

Microsoft が、1月10日と11日に Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability というレポートを更新しています。それを元に、この記事は書かれているのでしょう。かなり気合の入ったレポートで、ものすごいボリュームです。それだけ、危機感をつのらせているのだと推測できます。

%d bloggers like this: