の非常に深刻な欠陥 Apache Log4j、 と呼ばれる Log4Shell、 現在、インターネット上で最も注目を集めているセキュリティの脆弱性となっています。 10/10の重大度スコア 。 Log4jは、アプリケーションでエラーメッセージをログに記録するためのオープンソースのJavaライブラリであり、無数の技術会社で広く使用されています。
今後、主要なテクノロジー企業のサービスは、セキュリティの専門家が最近の歴史の中で最も重大な欠陥の1つと呼んでいることに苦しんでいます。この欠陥により、ハッカーはコンピュータシステムに無制限にアクセスできるようになります。
Microsoftの最近のレポートによると、少なくとも12の攻撃者グループが、システムクレデンシャルを盗み、傾向のあるシステムに暗号マイナーをインストールし、データを盗み、侵害されたネットワークを深く掘り下げるために、この欠陥を悪用しようとしています。
この欠陥は非常に深刻であるため、米国政府のサイバーセキュリティ機関はすべての脆弱な企業に緊急の警告を発し、すぐに効果的な措置を講じることを提案しています。このゼロデイ脆弱性についてのすべてを調べてください-Log4jの詳細と、それから安全を保つ方法。
アップデート :2番目のLog4jの脆弱性が発見されました。パッチリリース
火曜日に、ApacheLog4jに関連する2番目の脆弱性が発見されました。これは、サイバーセキュリティの専門家が最初のパッチを適用または軽減するために何日も費やした後に発生します。この脆弱性の正式名称はCVE2021-45046です。
説明には、Apache Log4j 2.15.0のCVE-2021-44228に対処するための修正が、特定のデフォルト以外の構成では不完全であると記載されています。これにより、攻撃者は…JNDIルックアップパターンを使用して悪意のある入力データを作成し、サービス拒否(DOS)攻撃を引き起こす可能性があります。
国際的なセキュリティ会社ESETは、Log4jの悪用が発生している場所を示すマップを提示します。
画像ソース: 場合
良い点は、Apacheがこの問題に対処して修正するためのパッチLog4j2.16.0をすでにリリースしていることです。最新のパッチは、メッセージルックアップパターンのサポートを削除し、デフォルトでJNDI機能を無効にすることで問題を解決します。
Log4jの脆弱性とは何ですか?
Log4Shellとも呼ばれるLog4jの脆弱性は、Logj4 Javaライブラリの問題であり、悪用者が任意のコードを制御および実行し、コンピュータシステムにアクセスできるようにします。この脆弱性の正式名称は次のとおりです。 CVE-2021-44228 。
Log4jは、Apacheによって作成されたオープンソースのJavaライブラリであり、アプリケーション内のすべてのアクティビティの記録を保持する役割を果たします。ソフトウェア開発者は、アプリケーションに広く使用しています。したがって、Microsoft、Twitter、Appleなどの最大のテクノロジー企業でさえ、現時点では攻撃を受けやすい傾向があります。
Log4jの脆弱性はどのようにして発見または発見されましたか?
Log4Shell(Log4j)の脆弱性は、Microsoftが所有するMinecraftのLunaSecの研究者によって最初に発見されました。その後、研究者たちは、それがMinecraftの不具合ではないことに気付き、LunaSecは、Log4jが遍在するため、多くのサービスがこのエクスプロイトに対して脆弱であると警告しました。
それ以来、最近の最も深刻な欠陥の1つであり、今後数年間インターネットに影響を与える欠陥として、多くの報告が寄せられています。
Log4jの脆弱性は何ができますか?
Log4jの脆弱性は、ハッカー/攻撃者/悪用者にシステムへの完全なアクセスを許可することができます。無制限のアクセスを取得するには、任意のコードを実行するだけです。この欠陥により、システムを適切に操作するときにサーバーの完全な制御を取得することもできます。
CVE(Common Vulnerabilities and Exposures)ライブラリの欠陥の技術的定義によると、ログメッセージまたはログメッセージパラメータを制御できる攻撃者は、メッセージルックアップ置換が有効になっている場合、LDAPサーバーからロードされた任意のコードを実行できます。
したがって、悪用者が弱いシステムを標的にしようとし続けているため、インターネットは非常に警戒しています。
Log4jの脆弱性のリスクがあるデバイスとアプリケーションは何ですか?
Log4jの脆弱性は、Apache Log4Jバージョン2.0から2.14.1を実行していて、インターネットにアクセスできる悪意のあるユーザーにとって深刻です。 NCSCによると、Apache Struts2、Solr、Druid、Flink、およびSwiftフレームワークには、愛情バージョン(Log4jバージョン2またはLog4j2)が含まれています。
これにより、AppleのiCloud、MicrosoftのMinecraft、Twitter、Steam、Tencent、Google、Amazon、CloudFare、NetEase、Webex、LinkedInなどの大手テクノロジー企業のサービスを含む膨大な数のサービスが提供されます。
なぜこの脆弱性は非常に深刻であり、対処が非常に難しいのですか?
この脆弱性は非常に深刻であるため、ハッカーは1分間に100回以上、ApacheLog4j2を使用して非常に弱いシステムを悪用しようとしています。これにより、何百万もの企業がサイバー盗難の危険にさらされます。
報告によると、インドでのみ、この欠陥により企業の41%がハッキングのリスクにさらされています。 Check Point Researchは、この欠陥を悪用する846,000を超える攻撃を検出したと述べています。
警備会社であるKryptosLogicは、 インターネットをスキャンしている10,000を超える異なるIPアドレスを発見し、LogShellをプローブしているシステムの100倍の量です。 。
この脆弱性は、Apacheが最も広く使用されているWebサーバーであり、Log4jが最も人気のあるJavaロギングパッケージであるため、非常に大きなものです。 GitHubリポジトリからのみ40万回以上ダウンロードされています。
Log4jの脆弱性から安全を保つ方法は?
最新のユーザーによると、ApacheはLog4j 2.15.0以降のすべてのユーザーの問題にパッチを適用しており、デフォルトで動作が無効になっています。専門家は、この脅威のリスクを最小限に抑え、システムを保護する方法を継続的に検討しています。 MicrosoftとCiscoは、この欠陥に関する勧告も公開しています。
LunaSecはそれについて言及しました Minecraftは、ユーザーが問題を回避するためにゲームを更新できるとすでに述べています。 Paperのような他のオープンソースプロジェクトも問題を修正するためのパッチを発行しています 。
CiscoとVMwareは、影響を受ける製品のパッチもリリースしています。現在、ほとんどの大手テクノロジー企業はこの問題に公に取り組んでおり、ユーザーと従業員にセキュリティ対策を提供しています。彼らは彼らに厳密に従う必要があります。
Log4jの脆弱性について専門家は何と言っていますか?
Log4jの脆弱性により、システム管理者とセキュリティ専門家は週末に大騒ぎになりました。 CiscoとCloudflareは、ハッカーが今月初めからこのバグを悪用していると報告しています。しかし、木曜日にApacheが開示した後、その数は大幅に増加しました。
通常、企業はそのような欠陥に個人的に対処します。しかし、この脆弱性の影響の範囲は非常に広大であったため、企業はこれに公に対処する必要がありました。米国政府のサイバーセキュリティ部門でさえ、深刻な警告を発しました。
土曜日に、米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーディレクターのジェンイースタリーは、次のように述べています。 この脆弱性はすでに「増え続ける脅威アクター」によって使用されています。この欠陥は、最も深刻ではないにしても、私のキャリア全体で見た中で最も深刻なものの1つです。
独立したセキュリティ研究者のChrisFrohoffは、次のように述べています。 ほぼ確実なことは、エクスプロイト文字列を配置する新しい場所を考えるときに、何年もの間、人々が新しい脆弱なソフトウェアのロングテールを発見することです。これはおそらく、カスタムエンタープライズアプリの評価と侵入テストに長い間現れるでしょう。
専門家は、脆弱性の差し迫った永続的な影響を認識することが重要である一方で、被害を減らすために今できるだけ多くの行動を取ることが最優先事項であると信じています。
攻撃者は、できるだけ多くのシステムを発見して悪用するためのより創造的な方法を探すようになるため、この恐ろしい欠陥は、今後数年間、インターネット全体で破壊を引き起こし続けるでしょう。
