セキュリティ界隈を騒がせた「Log4j の脆弱性」について再確認
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月29日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・Apache Log4j とその脆弱性である Log4Shell をおさらい
・Log4j の対策は最新バージョンへのアップデートだけで大丈夫?
今回の解説ニュース
2021年12月に公表されたApache Log4jの脆弱性Log4Shellをついたサイバー攻撃の被害について発表されています。こちらでも何度も取り上げたLog4Shellのおさらいとして、実際に起こっている被害とその対策について説明します。
今回の記事では、DLLサイドローディングの詳細や注目すべき手法やツール、ネットワーク内で他の端末への水平移動・内部活動、情報送出、情報送出後の活動について解説しています。その中でも、VMware社の仮想化ソフトウェア製品VMware Horizonの特定のバージョンで、脆弱性Log4Shellの悪用による攻撃事例を確認し解析したところ、多くが感染端末からの情報漏えいを伴い、一部のケースでは情報漏えいの数日後にランサムウェアに感染したことも判明したということです。
また、VMwareのコマンドラインユーティリティを利用したランサムウェアLockBitによるRaaSの手法についても言及し、ユーティリティを通じてDLLサイドローディングの影響を受けやすいことも示されています。
Apache Log4j とその脆弱性である Log4Shell をおさらい
おさらいもかねて、Apache Log4jとその脆弱性であるLog4Shellについて説明します。
Apache Log4jとは、Javaベースのログ出力に使われるライブラリです。Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換する機能を悪用されると、任意のコードが実行される脆弱性Log4Shellが発見されました。
Log4Shellの脆弱性が見つかったのは、Apache Log4jのバージョン2.0から2.14.1です。2.15.0にも別の脆弱性が見つかっているので、原則として最新バージョンへアップデートしてください。Log4jの脆弱性によって、プログラムの異常終了、プログラムの実行、当該サーバーに保存されているデータの改ざん・削除・漏えい等、外部の第三者が任意のコードを実行することができます。Log4Shellに割り当てられているCVE番号はCVE-2021-44228で、深刻度を表すCVSSバージョン3のベーススコアが最も高い10.0とされています。
Log4Shellの影響が大きく、深刻度の高い脆弱性とみなされている理由は、前提条件なくリモートから簡単に攻撃できて、セキュリティ3要素の機密性、完全性、可用性に対して全面的に影響することが挙げられています。
その他のトピック