Tag: CVE-2021-4104

CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い

CISA Unaware of Any Significant Log4j Breaches in U.S.

2022/01/11 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) だが、先日に公開された Log4j の脆弱性に関連した深刻な侵害について、現在のところ検知していないと述べている。月曜日に行われたメディアへのブリーフィングで、CISA の Director である Jen Easterly と、Executive Assistant Director for Cybersecurity である Eric Goldstein は、深刻なインシデントは検知していないと述べている。これは、数多くの組織が迅速に対応した結果だと思われる。

Continue reading “CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い”

Log4j の脆弱性は極めて深刻:多くの問題をインターネット上に残した

Extremely Critical Log4J Vulnerability Leaves Much of the Internet at Risk

2022/01/10 TheHackerNews — Apache Software Foundation は、広く利用されている Java ベース・ロギング・ライブラリ Log4j に存在する、悪意のコード実行と脆弱なシステムの乗っ取りを許す、ゼロデイ脆弱性の修正プログラムを公開した。この問題は、CVE-2021-44228 として追跡され、Log4Shell または LogJam というニックネームで呼ばれている。具体的に言うと、このオープンソース・ユーティリティを使用する全てのアプリケーションにおいて、認証を必要とせずにリモートコードが実行されるというものであり、Log4j Ver 2.0-beta9〜2.14.1 に影響する。このバグの深刻度は、CVSS 値 10.0 となっているで。

Continue reading “Log4j の脆弱性は極めて深刻:多くの問題をインターネット上に残した”

Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく

Microsoft Warns of Continued Attacks Exploiting Apache Log4j Vulnerabilities

2022/01/04 TheHackerNews — Microsoft は、オープンソースのロギング・フレームワーク Log4j に存在する脆弱性の悪用により、システムにマルウェアを展開しようとする試みが、国家支援ハッカーやコモディティ攻撃者により継続されていると警告している。Microsoft Threat Intelligence Center (MSTIC) は、今週の初めに発表したガイダンスの改訂版で、「12月の最後の数週間、攻撃の試みとテストが高水準で推移している。既存の攻撃者の多くが、コインマイナーからハンズオン・キーボード攻撃にいたるまで、一連の Log4j 脆弱性の悪用を、既存のマルウェア・キットや戦術に追加していることが確認されている」と述べている。

Continue reading “Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく”

FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?

FTC warns companies to secure consumer data from Log4J attacks

2022/01/04 BleepingComputer — 今日、米国連邦取引委員会 (FTC : Federal Trade Commission) は、継続して止まない Log4J 攻撃から、顧客データの保護を怠る米国企業を追及すると警告した。FTC は、「Log4j および、今後の類似する脆弱性の結果として生じる、消費者データの流出を止めるための合理的な措置を講じない企業を、法的権限をフルに活用して追及する意向だ」と述べている

Continue reading “FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?”

Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ

Log4j Highlights Need for Better Handle on Software Dependencies

2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。

Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”

Log4j 問題の 5W1H:現状の正確な認識と将来へ向けたステップ

AppSec and Software Community Respond to Log4j

2021/12/30 SecurityBoulevard — アプリケーション・セキュリティとオープンソース・ソフトウェアのコミュニティは、Java Log4j の脆弱性の問題に立ち向かい、ソフトウェアへのパッチ適用/情報の共有/緩和策やツールの提供などを行っている。まだ危機を脱したわけではないが、彼らのこれまでの行動には感銘を受けた。

Continue reading “Log4j 問題の 5W1H:現状の正確な認識と将来へ向けたステップ”