Log4j：このセキュリティの脆弱性から身を守る方法

Log4Shellとして知られるLog4jのセキュリティの脆弱性は、今年の最悪のセキュリティ欠陥の1つになりつつあり、何百万ものアプリケーションに影響を及ぼし、ハッカーが危険にさらして制御できるパッチが適用されていないシステムにブルズアイを描く可能性があります。幸い、自分のシステムが保護されていることを確認するための手順があります。

参照：パッチ管理ポリシー(TechRepublic Premium)

先週公開されましたが、11月にApacheに報告された、Log4Shellは、同社のLog4Jユーティリティのゼロデイ脆弱性です。これは、世界中の開発者や組織がJavaアプリケーションのリクエストとエラーメッセージをログに記録するために使用します。 Javaは非常にユビキタスなプログラミング言語であるため、この欠陥は膨大な数のアプリケーション、システム、サーバーに影響を及ぼします。

CVEとして指定-2021-44228米国国立標準技術研究所(NIST)によると、このバグは悪用も容易であり、プログラミングスキルはほとんどまたはまったく必要ありません。また、Apacheはツールの更新およびパッチ適用されたバージョンをリリースしましたが、影響を受けるユーザーは十分な速さでアップグレードできない可能性があります。そのため、ハッカーは、侵害されたパッチが適用されていないシステムを熱心に探しています。成功した場合、攻撃者はサーバーの制御を取得してマルウェアをインストールしたり、機密情報を盗んだり、デジタル通貨をマイニングしたりできます。

“この脆弱性は、業界」と語った。NetwrixのテクニカルプロダクトマネージャーであるDanPiazza氏は語った。 「Log4jは何千ものアプリケーション、ライブラリ、フレームワークで使用されています。つまり、影響を受ける可能性のある組織の数は驚異的です。攻撃者がすでにインターネットをスキャンして脆弱なターゲットを見つけている場合、組織がまだ緩和策を講じていない場合は、すでに遅すぎる。」

セキュリティプロバイダーのCloudflareによると、実際の違反はまだ正式に発表されていません。しかし、セキュリティ研究者は多くの試みを見ています。

火曜日に公開されたブログ投稿で、Cloudflareはその研究者が現在約1を監視していると述べました0001秒あたりの試行回数は、欠陥を積極的に悪用しようとします。仲間のセキュリティ会社Bitdefenderは、エンドポイント保護製品を装備したマシンに対する実際の攻撃が観察されたと述べました。具体的には、サーバーアクセスが達成された後、クリプトジャッキングキャンペーンを開始する目的でバグを悪用しようとするいくつかの攻撃を発見しました。

この試みでBitdefenderによって発見されたボットネットの1つは、Muhstikです。 Webアプリケーションの脆弱性の利点。また、Log4Shellの欠陥を悪用しようとしているのは、XMRIGマイナーです。これは、所有者の知らないうちに許可なく、コンピューティングリソースを使用してデジタル通貨をマイニングします。もちろん、ランサムウェアがこのような欠陥で大きく遅れることはありません。 Bitdefenderによると、Khonsariという名前の新しいランサムウェアファミリーはLinuxサーバーを標的にしているようです。

セキュリティプロバイダーのCheck Point Softwareは、この脆弱性を悪用する試みが120万回以上発見され、44世界中の企業ネットワークの割合。チェック・ポイントが見た特定の攻撃の1つは、米国、イスラエル、韓国、スイス、キプロスの金融、銀行、ソフトウェアの5人の犠牲者を襲った。この1つでは、この欠陥を悪用できるサイバー犯罪者がトロイの木馬マルウェアをインストールし、実行可能ファイルをダウンロードして、クリプトマイナーをインストールします。

参照： NISTサイバーセキュリティフレームワーク：専門家向けのチートシート(無料PDF)(TechRepublic)

Log4jの脆弱性を軽減するための推奨事項

Log4Shellの欠陥の影響を受ける組織は、Log4jをバージョン2にアップグレードすることをお勧めします。 15。 0、12月にApacheによってリリースされました13。当初、同社はバージョン2を展開しました。13。0はバグを軽減しますが、そのバージョン自体に欠陥があり、誰かがサービス拒否攻撃を実行できる可能性があります。まだJava7を使用している場合は、Log4j 2にアップグレードする必要があります。2リリース、Apacheによると。

以前のアドバイスにもかかわらず、Javaを更新するだけではバグと戦うのに十分ではないとPiazzaは述べています。

「まだ脆弱性を軽減する必要がある組織の場合、log4jパッケージ自体を更新する必要があり、Javaを更新するだけではいけません」とPiazza氏は述べています。 「これは初期の誤解でした。Javaを更新すると脆弱性の重大度が低下する可能性がありますが、これはまったく真実ではありません。ソフトウェアベンダーに相談して、log4jを使用しているかどうかを確認することもお勧めします。すでに自社製品のパッチを提供しています。」

サードパーティも、脆弱性に対抗するための独自のパッチとツールを迅速にリリースしています。 Cisco、Oracle、およびVMwareは、パッチと修正を公開しました。オープンソースのセキュリティプロバイダーであるWhiteSourceは、組織がLog4jの脆弱性を検出して解決するために実行できるWhiteSource Log4j Detectという無料の開発者ツールをリリースしました。奇妙な振る舞いのために影響を受ける可能性のあるアプリケーションの違反とレビュー」と述べた。 「さらに、組織がすでに侵害されていると感じた場合は、インシデント対応会社に相談し、影響を受けるサーバーへのすべての物理ネットワークアクセスを削除する必要があります。」

ただし、ハッカーは引き続き脆弱なシステムを探します。組織は、この欠陥が組織に対して使用されることから身を守るために迅速に行動する必要があります。チェック・ポイント・ソフトウェアの脅威インテリジェンス責任者であるLotem Finkelsteinは、次のように述べています。 「今こそ行動を起こす時です。セキュリティチームが保護対策を実施するのに時間がかかる可能性があるホリデーシーズンを考えると、脅威は差し迫っています。これはサイバーパンデミックのように機能します。攻撃する方法。 “

関連項目