Critical Apache Log4J2 Flaw Still Threatens Global Finance
2024/06/01 SecurityAffairs — 金融業界に甚大な影響を与える可能性のある深刻なロギング設定の欠陥を、独立系サイバー脅威インテリジェンス・アナリストである Anis Haboubi が警告している。Apache Log4j2 に存在する、脆弱性 CVE-2021-44832 の悪用に成功したリモートの攻撃者は、影響を受けるシステム上で悪意のコードを実行できるという。この脆弱性の CVSS スコアは 6.6 であり、log4j バージョン 2.0-alpha7 〜 2.17.0 に影響を及ぼすが、2.3.2/2.12.4 は含まれない。
このアドバイザリには、「Apache Log4j2 バージョン 2.0-beta7 〜 2.17.0 (セキュリティ修正リリース 2.3.2/2.12.4 を除く) には、リモートコード実行 (RCE) 攻撃の脆弱性が存在する。ロギング・コンフィグ・ファイルを変更する権限を持つ攻撃者は、リモートコード実行が可能な JNDI URI 参照データソースを用いて、JDBC Appender を介した悪意のコンフィグ構築を可能にする。この問題は、Log4j2 の バージョン 2.17.1/2.12.4/2.3.2 において、JNDI データソース名を java プロトコルに制限することで修正されている」と記されている。
この脆弱性は、Checkmarx のセキュリティ研究者 Yaniv Nizry により発見され、2020年12月27日の時点で Apache に報告されている。その数日後に Apache Software Foundation は、この欠陥に対処する Log4j 2.17.1 バージョンをリリースした。
最近に発生した、ISO/IEC 27001 認証企業 Sisense/Snowflake における侵害が浮き彫りにするのは、いまだに金融業界全体を脅かし続ける深刻な脆弱性の存在である。Anis Haboubi は、「この両社は、厳格なセキュリティ基準を遵守していたが、そのインフラに欠陥が存在したことで、機密性の高い金融データが不正アクセスされ、大惨事につながる可能性が懸念される」と、SecurityAffairs の取材に対して語っている。
なぜ、この古い脆弱性が、いまだに金融業界を脅かしているのだろうか?
このロギング・コンフィグには、重大な欠陥が存在する。したがって、書き込み権限を持つ攻撃者は、JNDI URI を取り込んだ JDBC Appender を悪用し、リモートからのコード実行を可能にする。この脆弱性を悪用する攻撃者は、リモートから悪意のあるコードを実行し、システムの完全な侵害の可能性が生じる。つまり、第一線で活躍する国際的な金融グループから信頼される、Sisense/Snowflake のような組織から、機密性の高い金融データへの不正アクセスが可能になってしまう。
Anis Haboubi は、「それらの金融機関は、データ分析やクラウド・ストレージ管理などの重要な業務において、両社のサービスに依存している。したがって、それらのシステムが侵害されると、世界規模で金融活動が中断され、財務上および風評上の大きな損害が生じる」と指摘している。
彼は、「今回の侵害により、アクセス・トークン/電子メール・アカウント・パスワード/SSL 証明書などを取り込んだ、数テラ・バイトの顧客データが流出した。それらのデータは、攻撃者による金融システムへの更なるアクセスを許し、詐欺行為を行うために悪用される可能性を持つ。金融業界/金融システムは、高度に相互接続している。したがって、あるシステムの脆弱性がドミノ効果を引き起こし、他のシステムやサービスを危険にさらす可能性がある。広範な混乱を引き起こす可能性があるため、この脆弱性は特に危険である。
今回の侵害が投げかける疑問は、Sisense/Snowflake における体制が、機密データを保護する上で十分であったかどうかという点である。盗み出されたデータは暗号化されていなかったようであり、より強固なセキュリティ対策の必要性が浮き彫りになっている。
結論として、Sisense/Snowflake のインフラに欠陥が存在し、さらに、両社が金融セクターで広範囲に採用されていることが重なり、重大な脅威となっている。これらの脆弱性を軽減し、グローバルな金融業務の完全性を保護するためには、早急な対策が必要である。将来の侵害を防ぎ、機密性の高い金融データの安全を確保するためには、PEM (Privacy Enhanced Mail) キー・ベースの認証の統合などの、セキュリティ対策の強化が不可欠である。
Anis Haboubi は、「きわめて印象的なインシデントである。数カ月前に、あるいは、数年前に、攻撃者はシステムに侵入したと思われる。彼らはデータを流出させるタイミングを待っていたようであり、また、Sisense が侵入を発見したのは、最近のことである。私にとって最大の関心事のひとつは、Sisense が PEM キー無しで、SSH トンネルによるプライベート・ネットワークへの接続を許可していたことだ。それは、私が皆さんと共有したコミットを受けて、密かに修正されたものだ。この攻撃者は、重要なインフラへの特権的なアクセスを得るために、最初から明らかに Log4j の脆弱性を悪用していた。その後に彼らは、持続性を維持できるかどうかを確認するために、数ヶ月間にわたり隠れ続けていた。現時点において、log4J インストールの 30% が、log4hell に対して脆弱であり続けている」と締め括っている。
文中で指摘されている、「log4J インストールの 30% が、log4hell に対して脆弱であり続けている」という点ですが、それは、以前から繰り返して言われてきたことです。また、Snowflake への侵害に関しては、2024/05/31 の「Snowflake のデータ侵害:Santander/Ticketmaster の侵害と関連している?」で詳述されていますが、その時点では Log4j には触れられていませんでした。Ticketmaster はチケット販売業ですが、Santander は銀行なので、今日の記事における懸念と一致します。よろしければ、Log4j で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.