世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた
Javaのログ出力ライブラリであるApache Log4jでゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」について、概念実証コードが日本時間の2021年12月10日に公開されました。このLive4Shellを突いてリモートコード実行を可能にするエクスプロイトの確認報告がさまざまなところで挙がっていますが、このLog4Shellエクスプロイトが概念実証コード公開前の12月1日から2日にかけて行われていたことが判明しました。
Log4Shell attacks began two weeks ago, Cisco and Cloudflare say - The Record by Recorded Future
https://therecord.media/log4shell-attacks-began-two-weeks-ago-cisco-and-cloudflare-say/
Log4ShellはLog4jに含まれるJNDI Lookupという機能によるもので、「細工した文字列を送信してログとして記録させることで、任意のLDAPサーバーにあるclassファイルをロードさせることが可能になる」というゼロデイ脆弱性です。これを悪用することで、Log4jを利用しているプログラムに任意のコードを実行させることが可能となります。
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE
すでにこのLog4Shellを突くエクスプロイトの報告は大量に挙がっており、仮想通貨マイナーのインストールやボットネットの拡散、サーバーのOSやユーザー情報のスキャンなど、枚挙に暇がありません。
Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、仮想通貨マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題 - GIGAZINE
CDNサービス企業であるCloudflareのマシュー・プリンスCEOによれば、これまでで一番最初にLog4Shellエクスプロイトが実行された記録が協定世界時の2021年12月1日4時36分50秒だったとのこと。プリンスCEOは、12月10日に概念実証コードが公開されるまでは、エクスプロイトが大量に行われていた様子はなかったとしています。しかし、概念実証コードが公開される9日前にLog4Shellを把握していた者が存在していたことになります。
Earliest evidence we’ve found so far of #Log4J exploit is 2021-12-01 04:36:50 UTC. That suggests it was in the wild at least 9 days before publicly disclosed. However, don’t see evidence of mass exploitation until after public disclosure.
— Matthew Prince ???? (@eastdakota)
また、ネットワーク脅威の専門家集団であるCisco Talosは「私たちは2021年12月2日からCVE-2021-44228(Log4Shell)に関連する攻撃者の活動を確認していますが、未検証の報告によれば、脅威活動自体は12月1日にもあったようです。企業や組織は、攻撃がもっと前から行われていた可能性を考慮し、少なくとも数週間前までさかのぼって分析範囲を拡大することを強くおすすめします」と述べています。
Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Threat Advisory: Critical Apache Log4j vulnerability being exploited in the wild
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
Log4jライブラリは非常に広く使用されているため、Log4Shellの与える影響は甚大。すでにApacheは脆弱性を修正したバージョン2.15.0を公開していますが、JAVA実行環境によってはアップデートができない場合もあるため、解決には時間がかかるといえます。なお、脅威インテリジェンスサービス「Kryptos Logic」は、Log4Shellチェッカーをかけた結果、脆弱なホストが1万件以上見つかったと報告しています。
Kryptos Logic's log4j (CVE-2021-44228) scanner discovered more than 10,000 vulnerable host using simple HTTP header probing. As always, you can register for free vulnerability notification on https://t.co/kiZvKnnMXv. https://t.co/QnkGnp9SCx pic.twitter.com/g18eF2JsGm
— Marcus Hutchins (@MalwareTechBlog)
また、IPAやJPCERT/CCも日本国内におけるLog4Shellの悪用を試みる通信を確認したと述べており、すみやかにLog4jのバージョンアップや回避策の適用を検討することを推奨しています。
Apache Log4j の脆弱性対策について(CVE-2021-44228):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
・関連記事
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE
Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、仮想通貨マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題 - GIGAZINE
「Apache HTTP Server」のゼロデイ脆弱性が公開される、攻撃を防ぐには最新バージョンへのアップグレードが必要 - GIGAZINE
任天堂やNetflixに影響を与えたAWSの大規模障害について公式が説明 - GIGAZINE
自動車メーカーのボルボがハッキング被害、研究データが盗まれたおそれあり - GIGAZINE
・関連コンテンツ
