主要なセキュリティ オペレーション企業である Arctic Wolf は、Github Disposal で公開されている JAR ファイル、WAR ファイル、および EAR ファイル内の CVE-4-2021 および CVE-45046-2021 を検出する Log44228Shell ディープ スキャン検出スクリプトを作成しました。 このスクリプトは、世界中の 2.300 人を超える Arctic Wolf の顧客によって既に正常に使用されています。
このスクリプトは、Windows、macOS、および Linux デバイスで利用でき、ホストのファイル システムのディープ スキャンを実行して、脆弱な Log4j コードを含む Java アプリケーションとライブラリを特定します。 影響を受ける Log4j コードが検出されると、スクリプトはそれをマークし、ファイル システム内の保存場所を出力します。 これにより、企業は Log4J の脆弱性の影響を受けるアプリケーションやシステムを特定できます。
ここから Github で「Log4Shell ディープ スキャン」をダウンロードします。
詳細については、GitHub の関連する readme.txt を参照してください。 Arctic Wolf は引き続きセキュリティ コミュニティに、独自のユース ケース用に「Log4Shell ディープ スキャン」をさらに開発するよう呼びかけています。 Arctic Wolf によって情報が収集されたり、Arctic Wolf に送信されたりすることはありません。
Log4Shell ディープ スキャンを使用する理由
組織内の Log4j の脆弱なインスタンスをすべて特定することは、現在、IT およびセキュリティ チームにとって大きな課題です。 最新の CVE-2021-45046 の重要度をアップグレードするには、システムと資産の再スキャンとパッチ適用が必要です。
Log4Shell ディープ スキャンは、既存のネットワーク ベースの脆弱性スキャン ソリューションを置き換えるのではなく、補完するために使用する必要があります。 Arctic Wolf は、企業が最初に最も重要で公的にアクセス可能な IT システムでツールを実行し、次にセキュリティ境界の背後にあるシステムを含む他のすべてのシステムをスキャンすることを推奨しています。
このツールは、影響を受けるアプリケーションと各脆弱性がどこにあるかを示すことで、IT およびセキュリティ チームがそれらの脆弱性に迅速に優先順位を付けて対象を絞ることができるようにします。
Log4j / Log4Shell の脆弱性が長期にわたって悪用される
Arctic Wolf は、Log4j/Log4Shell の脆弱性に関連する多数のスキャン アクティビティと、脅威アクターがクリプトマイナー マルウェアの増殖を試みる攻撃を観測しています。 ランサムウェアの攻撃者も、攻撃のエントリ ベクトルとして Log4Shell を積極的に使用し始めています。
Arctic Wolf は、中国、イラン、北朝鮮、トルコなど、Log4J の脆弱性を悪用する既知の攻撃グループをいくつか追跡しています。 これらおよびその他の脅威アクターは、ゼロデイ脆弱性を認識した後、一週間前から活動を続けています。 企業への世間の注目が薄れ次第、最初の侵害の後にさらなる攻撃手順と活動が実行されることが予想されるため、特に近い将来、絶え間ない注意と詳細なセキュリティ監視が必要になります。
Log4Shell の次は何ですか?
Log4Shell は、IT の世界を 4 週間半にわたって混乱させてきました。 状況は常に変化しており、この脆弱性とそれに関連する影響が、今後長い間企業を悩ませることになると予想されます。 そのため、Arctic Wolf のセキュリティおよび R&D チームは、攻撃者が使用する可能性が高い新しい方法 (TTP など) に基づいて、追加の検出ツールを開発しました。 これには、LogXNUMXJ 攻撃方法のバリエーションを検出し、成功したエクスプロイトを即座に認識、封じ込め、根絶することも含まれます。
洗練された攻撃者は、Log4J スキャンとコモディティ攻撃を広く使用して、活動を「レーダーの下をくぐり抜け」、高レベルの標的を侵害していると考えられます。 さらに、近い将来、成功した Log4j 攻撃を収益化するランサムウェアの事例が大幅に増えることが予想されます。 Log4Shell の影響の詳細については、Arctic Wolf のオンデマンド ウェビナーを参照してください。
詳しくは ArcticWolf.com をご覧ください
北極狼について
Arctic Wolf® は、セキュリティ オペレーションのグローバル リーダーであり、サイバー リスクから防御するための初のクラウドネイティブ セキュリティ オペレーション プラットフォームを提供します。 Arctic Wolf® Security Operations Cloud は、エンドポイント、ネットワーク、およびクラウド ソースにわたる脅威テレメトリに基づいて、世界中で 1,6 週間に 2.000 兆を超えるセキュリティ イベントを分析します。 ほぼすべてのセキュリティ ユース ケースに企業にとって重要な洞察を提供し、顧客の異種セキュリティ ソリューションを最適化します。 Arctic Wolf® プラットフォームは、世界中で XNUMX を超える顧客に使用されています。 自動化された脅威の検出と対応を提供し、あらゆる規模の組織がボタンを押すだけで世界クラスのセキュリティ運用をセットアップできるようにします。