危険な「Log4j」セキュリティ脆弱性は Apple から Minecraft まであらゆるものに影響を与える

Log4j Java ログ ライブラリで特定された危険なセキュリティ脆弱性により、インターネットの広大な範囲が悪意のある攻撃者にさらされています。

ゼロデイ エクスプロイトは、特に Apache の Log4j ロギング ライブラリと同様にソフトウェア内で遍在していると認識されている場合には、これ以上ないほど悪質です。 誰もが潜在的なリモート コード実行 (RCE) 攻撃にさらされる概念実証エクスプロイトがオンラインで共有され、Web 上の最大規模のサービスの一部に影響を与えました。 このエクスプロイトは「積極的に悪用されている」ことが確認されており、近年公開された最も危険なエクスプロイトの 1 つです。

Log4j は、Apache Software Foundation によって開発された人気のある Java ベースのロギング パッケージです。 CVE-2021-44228 バージョン 2.0-beta-9 からバージョン 2.14.1 までの Log4j のすべてのバージョンに影響します。 ライブラリの最新バージョンではパッチが適用されています。 バージョン2.15.0、数日前にリリースされました。 脆弱性が最初に発見された Minecraft のようなゲームを含む、多くのサービスやアプリケーションが Log4j に依存しています。 Steam や Apple iCloud などのクラウド サービスにも脆弱性があることが判明しており、Apache Struts を使用している人も同様である可能性があります。 iPhone の名前を変更するだけでも、Apple のサーバーの脆弱性が引き起こされることが示されています。

この脆弱性は、 発見した Alibaba Cloud セキュリティ チームの Chen Zhaojun 氏による記事。 ユーザーが制御する文字列をログに記録するサービスはすべて、このエクスプロイトに対して脆弱でした。 ユーザー制御文字列のログ記録は、潜在的なプラットフォーム悪用を発見するためにシステム管理者によって一般的に行われています。 次に、文字列を「サニタイズ」する必要があります。これは、ソフトウェアに有害なものがないことを確認するためにユーザー入力をクリーンアップするプロセスです。 提出されました。

Log4Shell は、その深刻さにおいて Heartbleed に匹敵します

このエクスプロイトは、システム全体の乗っ取りを可能にする未認証の RCE 脆弱性であるため、「Log4Shell」と呼ばれています。 すでにあります オンラインでの概念実証エクスプロイトそして、DNS ログ ソフトウェアを使用することで、それが機能することを実証するのは驚くほど簡単です。 覚えていれば、 ハートブリード 数年前から存在する脆弱性ですが、重大度という点では Log4Shell がそれに見合ったものであることは間違いありません。

「Heartbleed や Shellshock などの他の注目を集めている脆弱性と同様に、私たちは、 今後数週間で発見される脆弱な製品の数は増加するだろう」とランドリ攻撃 チーム 彼らのブログで述べた 今日。 「悪用の容易さと適用範囲の広さから、ランサムウェア攻撃者がこの脆弱性を直ちに悪用し始めるのではないかと思われます」と彼らは付け加えた。 悪意のある攻撃者はすでに Web を大規模にスキャンして、悪用するサーバーを見つけようとしています (経由) ピーピーコンピュータ).

「非常に多くのサービスがこのエクスプロイトに対して脆弱です。 Steam、Apple iCloud などのクラウド サービス、Minecraft などのアプリには脆弱性があることがすでに判明しています」と LunaSec 書きました. 「Apache Struts を使用している人は誰でも脆弱になる可能性があります。 以前にも、2017 年の Equifax データ侵害のような侵害で、同様の脆弱性が悪用されたのを確認しました。」LunaSec はまた、Java のバージョンについても述べています。 6u211、7u201、8u191、および 11.0.1 よりも大きいバージョンは、理論上はそれほど影響を受けませんが、ハッカーは依然としてこの問題を回避できる可能性があります。 制限。

この脆弱性は iPhone の名前のようなありきたりなものによって引き起こされる可能性があり、Log4j が本当にどこにでも存在することを示しています。 Java クラスが URL の末尾に追加されている場合、そのクラスはサーバー プロセスに挿入されます。 Log4j の最新バージョンを使用しているシステム管理者は、次の引数を使用して JVM を実行することもでき、次の条件を満たす限り、脆弱性の悪用を防ぐこともできます。 少なくとも Log4j 2.10 上にある.

-Dlog4j2.formatMsgNoLookups=true

CERT NZ (ニュージーランド国家コンピュータ緊急対応チーム) は、次のセキュリティ勧告警告を発しました。 野生環境における積極的な搾取、そしてこれはまた、によって確認されています Coalition エンジニアリング ディレクター - セキュリティ Tiago Henriques そして セキュリティ専門家 Kevin Beaumont. この脆弱性はCloudflareによって非常に危険であるとみなされているため、すべての顧客にデフォルトで「何らかの」保護が与えられています。

これは非常に危険なエクスプロイトであり、オンラインで大混乱を引き起こす可能性があります。 今後何が起こるか注目していきたいと思います。