オランダのサイバー・セキュリティ機関が警告:Log4j 脆弱性のリスクは長期化する

Dutch cybersecurity agency warns of lingering Log4j risks

2022/01/22 BleepingComputer — オランダの Dutch National Cybersecurity Centre (NCSC) は、木曜日に発表した警告の中で、企業は Log4j 攻撃に関連するリスクを認識し、現在進行中の脅威に警戒する必要があると述べている。一連の深刻な脆弱性を緩和するために、多くの組織が迅速に行動したことで、Log4Shell の悪用に関連しするインシデントの余波は、それほど大きくないとされているが、NCSC によると、脅威アクターたちは依然として新たな標的への侵入を、計画している可能性が高いとのことだ。

NCSC は、「悪意のある者が、今後も脆弱なシステムを探して、標的型攻撃を行うことが予想される。そのため、引き続き警戒することが重要だ」と述べている。NCSC は、あらゆる組織に対して、脆弱なシステムの使用に関する有無を引き続き監視し、必要に応じて更新や緩和措置を適用するよう助言している。さらに NCSC は、企業の経営陣に対して、Log4j が悪用された場合に起こりうる事業継続への影響について情報を取得し、警戒を怠らないように助言している。

オープンソースの Apache Log4j ロギング・ライブラリが、数十社のベンダーにおける多様なシステムで使用されていることを考えると、Log4j の脆弱性 (Log4Shell) は、金銭的な動機を持つ攻撃者にとっても、国家をバックにした攻撃者にとっても、非常に魅力的な攻撃ベクターとなる。

Log4Shell は、インターネット・アクセスにさらされているサーバー上で、リモートで悪用することが可能なため、ネットワーク内を横方向に移動する攻撃者が、機密性の高い内部システムに到達する可能性が生じる。

Log4Shell が公開された後に、中国/北朝鮮/イラン/トルコなどの、国家に支援されるハッキング・グループや、ランサムウェア・ギャングが利用するアクセス・ブローカーなどの、複数の脅威アクターが Log4Shell のエクスプロイトを展開し始めた。

Log4j は現在も活発に悪用されている

世界中で Log4j の悪用が続いているという警告が、世界中の政府機関や民間企業から提供されていたことを考えると、NCSC の警告は時宜を得たものと言えるだろう。

たとえば、水曜日に Microsoft が発表したレポートでは、未知の脅威アクターが SolarWinds Serv-U のゼロデイを悪用し、組織内の LDAP サーバーに Log4j 攻撃を伝播させようとしたことが紹介されている。しかし、この事件の対象となった Windows ドメイン・コントローラーには、Log4j 攻撃を揺する脆弱性が存在しなかったことで、その攻撃は失敗に終わった。

その1週間前にも Microsoft は、DEV-0401 として追跡されている中国の脅威アクターが、インターネットに公開された VMware Horizon サーバーの Log4Shell を悪用して、ランサムウェア Night Sky を展開したことを警告している。

Microsoft は、「1月4日の時点で、攻撃者は VMware Horizon を実行している、インターネットに面したシステムで、CVE-2021-44228 の脆弱性を悪用し始めました。我々の調査によると、これらのキャンペーンで侵入に成功したことが、ランサムウェアNight Sky の展開につながった」と述べている。

Microsoft の報告に先立ち、1月5日には英国の National Health Service (NHS) が、Log4Shell を悪用することで、VMware Horizon システムを狙う攻撃者がいるという警告を発している。

同じような視点の記事としては、1月11日の「CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い」があり、いまのところは平穏のようですが、文中にもあるように、さまざまな脅威アクターやランサムウェア・ギャングたちが、Log4Shell の悪用を進めています。同じ11日に「イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下」と、「Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された」という記事をポストしているように、何時、何処で、何が起こってもおかしくない状況が続いています。 → Log4j まとめページ

%d bloggers like this: