セキュリティ

Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、暗号資産マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題


さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」が2021年12月10日に発覚し、大きな混乱を呼んでいます。Log4jをリリースするApacheは脆弱性を解決したバージョン2.15.0をリリースしていますが、すでにLog4Shellを突いたエクスプロイトが報告されています。

Hackers start pushing malware in worldwide Log4Shell attacks
https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/

Microsoft: Log4j exploits extend past crypto mining to outright theft | VentureBeat
https://venturebeat.com/2021/12/12/microsoft-log4j-exploits-extend-past-crypto-mining-to-outright-theft/

Log4Shellは、Log4jのバージョン2.0 beta9から搭載された機能「JNDI Lookup」に見つかった脆弱性で、特定の入力で任意のLDAPサーバーからclassファイルを動的に読み込んでしまうため、簡単に悪意のあるコードを実行できるというものでした。

JavaのLog4jライブラリで発見された脆弱性「CVE-2021-44228」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE


以下のムービーは、Log4Shellを実証する映像です。

Log4shell | Remote Code Execution | 0day | CVE-2021-44228 | POC - YouTube


IT系ニュースサイトのBleepingComputerによると、Log4Shellが公開されてすぐに、暗号資産マイナーを強制的にインストールするシェルスクリプトをLog4Shellで実行する例が報告されているとのこと。Bleeping Computerは、攻撃対象のデバイスから競合するマルウェアを削除してから、コンテナ環境を対象としたマルウェア「Kinsing」をインストールさせ、暗号資産のマイニングを開始するエクスプロイトを確認したと述べています。また、ネットワークセキュリティ研究企業のNetlab 360は、LinuxデバイスをMiraiやMuhstikといったボットネットにアクセスさせ、暗号資産マイナーのインストールや大規模なDDoS攻撃を実行する動きを報告しました。

this log4shell payload is... a coin miner

the vulnerability has arrived pic.twitter.com/XUR7I5ydpP

— Kevin Beaumont (@GossiTheDog)


セキュリティ研究者による実証では、脆弱なサーバーにURLへのアクセスやコールバックドメインへのDNSリクエストの実行が確認されています。さらにLog4Shellを利用して、ホスト名やユーザー名、OSとそのバージョン番号など、サーバーのデータを含む環境変数を無断で流出させることに成功したことも報じられています。


また、BleepingComputerのウェブサーバーには、psc4fuel.comというドメインからのLog4Shellエクスプロイトが確認されたとのこと。この攻撃がセキュリティ研究者によるものなのか、それとも悪意のある攻撃者によるものなのかは不明ですが、pc4fuel.comは本来石油サービス会社のドメインであり、明らかになりすました上でエクスプロイトをしかけていると述べています。

CDNサービス企業のCloudflareはHTTPリクエストの中からJNDI Lookupに関わるものをブロックする形でファイアウォールを展開して対策しているそうです。Cloudflareは、すでに12月11日時点で1分あたりおよそ2万回ものエクスプロイトリクエストがあると報告。Twitterでも、Log4Shellエクスプロイトを観測したという報告が挙がっています。

????⚠️New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j ????️‼️ We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX

— Deutsche Telekom CERT (@DTCERT)

#log4j#log4shell をうちの枯れたサーバーでも観測しています。予想以上に来ていたし、URLやUA以外にも見かける。#ハニーポット観察 (正確にはハニーポットではない) pic.twitter.com/AxY2IZ8EAm

— S-Owl (@Sec_S_Owl)


Log4Shellの対応策としては、Log4jをバージョン 2.15.0に更新することが求められます。ただし、バージョン2.15.0の動作環境がJava 8であるため、Java 7以前の環境だとすぐに更新が行えない場合は「JNDI Lookupの無効化」「JNDI Lookupのclassファイルを削除」などが推奨されています。

アメリカのサイバーセキュリティ・インフラ安全保障局(CISA)のディレクターであるジェン・イースタリー氏は2021年12月11日付けで、「CISAは官民のパートナーと緊密に連携し、Log4jライブラリを含む製品に影響を与えるLog4Shellの問題に積極的に取り組む」という声明を発表。イースタリー氏は「はっきり言って、この脆弱性は深刻なリスクをもたらします。政府と民間企業が協力して取り組むことで、潜在的な影響を最小限に抑えることができます。私たちは、すべての組織がこの重要な取り組みに参加し、行動を起こすことを強く要請します」と述べました。

Statement from CISA Director Easterly on “Log4j” Vulnerability | CISA
https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability

CISAは企業や組織に対して、以下の3つの緊急措置を推奨しています。

・Log4jを利用したプログラムがインストールされている外部接続機器をすべて列挙する。
Security Operation Center(SOC)が上記で列挙されたデバイスのアラートに対応していることを確認する。
・自動的に更新されるウェブアプリケーションファイアウォールを導入し、SOCが集中すべきアラートを絞り込む。

なお、Log4Shellのセキュリティアドバイザリについては、以下のページにまとめられています。

BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-12 2204 UTC · GitHub
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

また、サイバーセキュリティ企業のSilent Signalは「Log4Shellの影響を受ける脆弱なホストを発見するツール」をオープンソースで開発しており、ソースコードをGPLv3ライセンスの下でGitHubに公開しています。

Our new tool for enumerating hidden Log4Shell-affected hosts – Silent Signal Techblog
https://blog.silentsignal.eu/2021/12/12/our-new-tool-for-enumerating-hidden-log4shell-affected-hosts/

さらに、サイバーセキュリティ企業のCyberreasonは、Log4Shellを利用して脆弱性の修正パッチを適用する」「ワクチン」アプローチとなる「Logout4Shell」を展開しており、GitHubで公開しています。なおCyberreasonは、このLogout4Shellはあくまでも脆弱性へのエクスプロイトを利用したものであり、他人の管理するサーバーに実行することは違法であり全く推奨されないと述べています。

Cybereason Releases Vaccine to Prevent Exploitation of Apache Log4Shell Vulnerability (CVE-2021-44228)
https://www.cybereason.com/blog/cybereason-releases-vaccine-to-prevent-exploitation-of-apache-log4shell-vulnerability-cve-2021-44228

この記事のタイトルとURLをコピーする

・関連記事
JavaのLog4jライブラリで発見された脆弱性「CVE-2021-44228」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE

「Apache HTTP Server」のゼロデイ脆弱性が公開される、攻撃を防ぐには最新バージョンへのアップグレードが必要 - GIGAZINE

「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説 - GIGAZINE

Razerのマウスを接続するだけでシステム特権昇格が可能になる脆弱性が発見される - GIGAZINE

in ソフトウェア,   ネットサービス,   動画,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.