Log4j の脆弱性は極めて深刻:多くの問題をインターネット上に残した

Extremely Critical Log4J Vulnerability Leaves Much of the Internet at Risk

2022/01/10 TheHackerNews — Apache Software Foundation は、広く利用されている Java ベース・ロギング・ライブラリ Log4j に存在する、悪意のコード実行と脆弱なシステムの乗っ取りを許す、ゼロデイ脆弱性の修正プログラムを公開した。この問題は、CVE-2021-44228 として追跡され、Log4Shell または LogJam というニックネームで呼ばれている。具体的に言うと、このオープンソース・ユーティリティを使用する全てのアプリケーションにおいて、認証を必要とせずにリモートコードが実行されるというものであり、Log4j Ver 2.0-beta9〜2.14.1 に影響する。このバグの深刻度は、CVSS 値 10.0 となっているで。

Apache Foundation はアドバイザリで、「ログメッセージやパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合において、LDAP サーバーから読み込まれた任意のコードを実行できる。ただし、Log4j 2.15.0 以降では、この動作はデフォルトで OFF となっている」と説明している。

脆弱な Log4j インスタンスを介してログが記録されると、アプリケーションから悪意の外部ホストへのアクセスのきっかけが生じ、リモート・サーバーからのペイロードの取得とローカルでの実行を、敵対者に許すことになる。この問題を発見したのは、Alibaba Cloud Security Team の Chen Zhaojun であると、プロジェクトのメンテナは述べている。

Log4j は、Amazon/Apple iCloud/Cisco/Cloudflare/ElasticSearch/Red Hat/Steam/Tesla/Twitter などのメーカーが提供する、さまざまなソフトウェアのロギングパッケージとして使用されている。また、ビデオゲーム Minecraft にも使用されており、このケースでは特別に細工したメッセージをチャット・ボックスに貼り付けるだけで、Minecraft サーバー上で RCE が生じることになる。

巨大な攻撃対象

Qualys の Senior Manager of Vulnerabilities and Signatures である Bharat Jogi は、「Apache Log4j のゼロデイ脆弱性は、2021年における、最も深刻な脆弱性である。Log4j は、何百万もの Java アプリケーションで使用される、エラーメッセージを記録するためのユビキタスなライブラリである。この脆弱性を悪用するのは簡単だ」と述べている。

サイバー・セキュリティ企業である BitDefender/Cisco Talos/Huntress Labs/Sonatype は、PoC エクスプロイトが利用可能になった後に、脆弱性のあるサーバー上の影響を受けるアプリケーションが大量にスキャンされ、ハニーポット・ネットワークに攻撃が登録されるという証拠を確認している。Sonatype の Ilkka Turunen は、「これは、実行するのが非常に簡単で、低いスキルでも攻撃が可能だ」と述べている。

GreyNoise は Shellshock になぞらえ、この脆弱性を狙った悪意あるアクティビティを、2021年12月9日から観測している。また、Web インフラ企業の Cloudflare は、12月10日の午後6時 (UTC) 頃に、1分間で約20,000件の悪用要求をブロックしたと述べている。これらの悪用要求の大半は、米国/英国/カナダ/オランダ/フランスから発信されていた。

Log4j の悪用が容易であること、そして、企業の IT部門 や DevOps において Log4j が広く普及していることを考えると、影響を受けやすいサーバーを狙った攻撃が急増することが予想され、この欠陥に直ちに対処することが急務となっている。イスラエルのサイバー・セキュリティ企業である Cybereason も、Logout4Shell と呼ばれる修正プログラムを公開している。この修正プログラムは、脆弱性自体を利用してロガーを再設定することで欠点を解消し、さらなる攻撃の悪用を防ぐものだ。

セキュリティ専門家の Marcus Hutchins は、「この Log4j の脆弱性 CVE-2021-44228 は極めて深刻なものである。何百万ものアプリケーションがログ収集のために Log4j を使用しており、また、攻撃者が行うべきことは、アプリに特殊な文字列をログ収集させることだけだ」とツイートしている。

Log4j に関する記事ですが、内容が重複しないように選んで、翻訳/ポストするようにしています。この記事にも、すでに紹介した事実などが数多く含まれますが、影響を受けたベンダーとして、Amazon/Apple iCloud/Cisco/Cloudflare/ElasticSearch/Red Hat/Steam/Tesla/Twitter と Minecraft が列挙されたのは、初めてのことだと思います。なお、Log4j 関連の記事につきましては、まとめページ Log4j を、ご参照ください。

%d bloggers like this: