Log4j は、公開からほぼ XNUMX か月が経過した現在も危険な脆弱性であり続けています。 また、まだ攻撃が実行されていない場合でも、IT セキュリティ担当者は、サイバー犯罪者が IT システムにアクセスしたと想定する必要があります。 Bitdefender のシニア ソリューション アーキテクト、Cristian Avram 氏による記事です。
したがって、差し迫った攻撃を効果的に防御するには、今後数か月間で弱点を即座に特定して閉鎖し、自社の IT トラフィックとネットワーク トラフィックを監視する必要があります。
Log4j: 長期的な負荷
ハッカーは、広く使用されている Log4J ログイン ライブラリを使用してコードをリモートで実行できます。 9 年 2021 月 2021 日に発表された CVE-44228-4 脆弱性は、事実上の標準である Log4J がさまざまな Web アプリケーションで広く使用されているため、特に危険です。 多くの企業は、自社のシステムに Log2021j を実装しているかどうか、またどこに実装しているのかを知りません。 Bitdefender Labs は、XNUMX 年 XNUMX 月の時点で、ボットネット経由でクリプトマイナーをインストールしたり、新たなランサムウェア攻撃を開始したりするなど、サイバー犯罪者による特定の行為を認識しました。
攻撃の大波が明らかにまだ現実化していないとしても、非常に動的なリスク状況が想定される可能性があります。 Log4j を介してリモート実行可能コードをインストールするのは非常に簡単であるため、危険が差し迫っています。 攻撃者は、企業ネットワークにアクセスするためのゲートウェイとしても Log4J を使用します。 ハッカーは当初、できるだけ目立たないように企業ネットワークのドアに足を踏み入れたため、実際の攻撃が続くと想定できます。 現在準備されている、近い将来開始される攻撃の多くは、Log4j を介した侵入の結果として検出されなくなる可能性があります。
メーカーや企業間の不確実性
Log4j ライブラリ自体は、システムへのリクエストをログに記録して処理するための非常に便利でシンプルな機能を提供します。 それがデファクトスタンダードとなった理由です。 多用途のクロスプラットフォーム フレームワークとして、Windows、Linux、macOS、FreeBSD などのさまざまなオペレーティング システム上で動作します。 Java、つまり Log4J は、たとえば、ウェブカメラ、カーナビゲーション システム、端末、DVD プレーヤー、セットトップ ボックス、医療機器、さらにはパーキング メーターで使用されています。 ただし、これには問題が発生します。多くの IT 管理者は、どのアプリケーションが Log4j 経由で企業ネットワークをインターネットに接続しているのかを知りません。 Bitdefender テレメトリ データ、つまりインストールされている Bitdefender システムからの情報が、多くのセキュリティ チームが潜在的な脆弱性に自ら取り組み、影響を受けるかどうかを確認していることを示しているのは偶然ではありません。
このように全体像が欠如しているのはあなただけではありません。 ソフトウェアプロバイダーやオープンソースプロジェクトも、自社の製品やプロジェクトに脆弱性が含まれているかどうかを知りません。 すべての企業と同様に、企業はセキュリティ状況を把握する必要があり、現在、顧客に情報を提供しているか、近い将来も情報を提供し続ける予定です。
今後数か月の「Log4J マラソン」のための XNUMX つのヒント
このように不透明で常に変化するリスク状況において、企業の IT セキュリティ管理者とマネージド セキュリティ プロバイダーは、今後数か月間、顧客へのサービスに細心の注意を払う必要があります。 次のアドバイスは、リスクを特定し、短期的および長期的に攻撃をブロックするのに役立ちます。
- 1. 脆弱性がすでにわかっている場合は、直ちにパッチを適用して更新します。企業は、ソフトウェア プロバイダーの指示に従って、アプリケーションに利用可能なすべてのパッチを直ちにインポートする必要があります。 この原則は現在、これまで以上に当てはまります。
- 2. IT インフラストラクチャとソフトウェア BOM のインベントリを作成する: 管理者は、インフラストラクチャ全体とソフトウェアを監査する必要があります。 これにより、Apache Lofj2 ロギング フレームワークを実装したすべてのシステムを識別できます。 その後、Log4j バージョン 2.17.1 への更新が続きます。
- 3. ソフトウェア サプライ チェーンのアップデートを確認する: IT 管理者は、どのシステムが影響を受けるかを把握したら、それぞれのオープン ソース ソフトウェア プロジェクトがプロジェクトかどうかを常に把握しておく必要があります。 商用ソフトウェア製品のベンダーはパッチを提供していますか。 ギャップを埋めるためにどのような対策をお勧めしますか?
- 4. インターネットに直接アクセスできないシステムを忘れないでください。もちろん、インターネットに直接接続されているアプリケーションとシステムは、セキュリティ インベントリの中で最優先されます。 しかし、多くのハッカーは、この侵入ゲートを、他のシステムを攻撃するための横方向の移動の開始点としてのみ使用します。 したがって、IT 責任者は、インターネットに直接接続しないシステムの監視と保護についても同様に警戒する必要があります。
- 5. 多層防御の時期: Log4j の悪用が最初のステップであり、次は攻撃の開始です。 これにより、IT 管理者は準備をする時間が得られ、脆弱性が実際のセキュリティ インシデントになるのを防ぐことができます。 テレメトリ データは、どのサイバー セキュリティ モジュールが攻撃者による脆弱性の悪用を阻止しているかを示します。 それはネットワーク レベルでの保護から始まります。脅威インテリジェンスは、URL または IP アドレスの評判に関する情報を提供します。 しかし、静的マルウェアもその役割を果たしており、クリプトマイナーや既知の悪意のあるペイロードをインストールしています。 これは、これらの攻撃に対する保護を提供するだけではありません。 管理者とマネージド セキュリティ プロバイダーは、これらの攻撃が今後も拡大し続けることを想定する必要があります。 Extended Detection and Response (XDR) は、あるシステムから次のシステムへの横方向の動きを検出します。 高度な脅威検出技術により、プロセス内の疑わしい動作を特定します。 管理された検出と対応 (MDR) サービスの外部専門家が、リスクと攻撃の特定を支援します。
Log4j を介した攻撃を防御することは長期的な課題となるでしょう。 管理者は、今後数か月間、ネットワークへのアクセスとネットワーク上で何が起こっているかを注意深く監視する必要があります。 あらゆる異常をチェックする必要があります。 特に、IT 管理者とマネージド サービス プロバイダーは、リバース TCP シェルの兆候を真剣に受け止める必要があります。
詳しくは Bitdefender.com をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de