Oxeye の Ox4Shell は Log4Shell の難読化に対抗するためのツールだ

Oxeye Tool Can Counter Log4j Obfuscation Attacks

2022/01/12 SecurityBoulevard — 今日、Oxeye は、Ox4Shell と名付けられた、オープンソースの対難読化ツールを発表した。それにより、サイバーセキュリティ・チームは、脆弱性 Log4Shell を利用しようとする、隠れたペイロードをより簡単に発見できるようになる。多くの企業の IT 部門は、Java アプリケーションからログデータを収集するために広く使用されている、Log4j で発見された一連のゼロデイ脆弱性に悩まされている。Oxeye の CTO である Ron Vider は Ox4Shell について、脆弱性 Log4jShell を悪用するペイロードを隠すために、多くのサイバー犯罪者が用いる難読化戦術に対抗するために設計されていると述べている。

Log4j における脆弱性は、ログメッセージやパラメータにテキストを注入することで、リモートコード実行 (RCE) 攻撃を許してしまう。このテキストは、サーバーのログに入り込み、悪意の目的のためにリモートサーバーからアップロードされる。Ox4Shell は、攻撃者の意図を理解しやすくするために、目立たないペイロードをエクスポートする。

Ron Vider は、「Log4j の脆弱性が特に問題となるのは、環境変数や Java プロセスのランタイム情報などを調べる Lookup 機能が、このログツールに含まれているためである。これらの情報を利用して、攻撃者は特定のサーバーに対して、追加の攻撃を仕掛けることができる。Ox4Shell では、この Lookup 機能に対応するため、モックデータをフィードバックすることで、この脅威に対抗している」と述べている。

サイバー攻撃が巧妙になるにつれて、攻撃者たちは各種の難読化技術を用いて、アプリケーション環境内へのコード埋め込みに精通してきていることは明らかだと、Vider は述べている。

2021年に Oxeye は、コード上の問題点を特定するだけではなく、発見された問題点を最適に修正するためのアドバイスを提供する、Application Security Testing Platform を発表した。このプラットフォームを使用する開発者は、コード内の脆弱性をスキャンする Observer Tool をダウンロードする必要がある。脆弱性が発見されると、Oxeye プラットフォームは、開発者を修正プロセスへとガイドするが、すべてのアプリケーションにおいてエージェント・ソフトウェアの注入は不要である。

同社は 2022年に、Log4jShell 脆弱性などの、特定の脅威に対応する一連のオープンソース・ツールを公開する予定である。サイバー犯罪者が、ソフトウェア・サプライチェーンを狙うケースが増えていることで、全体的に RCE 攻撃が広まっている。その目的は、さまざまなアプリケーションの下流で広く使用されている、ソフトウェア・コンポーネントを侵害することだ。

このような攻撃が生じると、オープンソース・ソフトウェアのプロジェクトに対して、特に少数のコントリビューターだけが参加しているプロジェクトに対して、懸念が高まってくる。このような小規模プロジェクトでは、作成されたコードの完全性を確保するための、十分なスキルを持ったセキュリティ専門家がいないため、脆弱性の問題を抱えやすくなる。

実際のところ、Log4j ロギングツールの脆弱性と、同じ構造を持つ脆弱性が、他のプロジェクトにも影響を与えているようだ。同じく Java で書かれた H2 データベースにも、同様の脆弱性が発見されている。これらの脆弱性の影響を受けるアプリケーションやデバイスは、合わせて数億にのぼるだろう。

サイバー犯罪者は、ゼロデイ脆弱性が公開されてから数時間以内に、それを悪用し始めるという事例が明らかになっている。サイバーセキュリティ・チームは開発者と協力することで、攻撃が開始される前に、これらの脅威に対応する最善の方法を決定することが、これまで以上に重要になっている。

Log4Shell 対策のために、さまざまなツール類が注目を集めています。この Ox4Shell は、良性のペイロードを用いて、問題点をスキャするという考え方のようですね。その他のソリューションに関する記事としては、「WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする」や、「Arctic Wolf の Log4Shell Deep Scan スクリプト:入れ子になっている Log4j を探査」などをポストしています。よろしければ、ご参照ください。→ Log4j まとめページ

%d bloggers like this: