Microsoft は、中国、イラン、北朝鮮、トルコの政府系サイバースパイが Log4j 2.x のリモートコード実行の脆弱性を積極的に悪用していると考えています。
これまで、Javaアプリケーションで広く使用されているオープンソースのログライブラリに存在するCVE-2021-44228に脆弱なシステムやサービスをインターネット上でスキャンしていたのは、主に民間の悪意ある人物、犯罪組織、そしてセキュリティ研究者であると広く認識されていました。ネットワーク観測者によると、1分間に数万件もの攻撃が確認されています。この攻撃が成功すると、ランサムウェアや暗号通貨マイナーのインストール、クラウド認証情報などの情報の盗難などにつながる可能性があります。
火曜日、マイクロソフト脅威インテリジェンスセンター(MSTIC)は、セキュリティバグを利用して恐喝ウェアを拡散し、エクスプロイトコードをテストし、ネットワークに侵入していると述べ、特定の国を非難した。
Phosphorousは、昨年の米国大統領選挙関係者のオンラインアカウントへの侵入を試みたとされるイランのグループです。Hafniumは、今年初め頃にMicrosoft Exchange Serverのセキュリティホールを悪用したとされる中国のグループです。もちろん、西側諸国の機関がこのセキュリティホールを悪用することは考えられません。
今週初め、カスペルスキー研究所とビットディフェンダーは、ロシアのIPアドレスからLog4jの導入環境への攻撃試行が確認されたと発表しました。ただし、プーチン大統領の領土にあるノードを経由して接続をルーティングすることはそれほど難しくないことは指摘しておきます。マンディアント社も、北京とテヘランに関係するブラックハットハッカーによる攻撃試行が確認されたと述べています。
確かに、原因の特定は難しいものです。しかし、米国政府のサイバーセキュリティ・インフラセキュリティ庁がすべての連邦民間機関に対し、2021年12月24日までにCVE-2021-44228に対処するよう指示している中で、この脆弱性が明るみに出ているのは興味深いことです。これはかなり厳しい期限です。Log4j 2.xのバージョン2.16が利用可能になり、脆弱性のある機能がデフォルトで無効化され、安全でないメッセージ検索コードが完全に削除されています。
このプログラミング上の失敗は、CISA の既知の脆弱性カタログに追加されました。
Log4j はサーバーに穴を開けるだけでなく、問題を再び引き起こします。大企業はオープンソースを悪用しているのでしょうか?
続きを読む
このセキュリティ上の欠陥は、過去 10 年かそれ以上で最悪の欠陥の 1 つです。バグがないと思われていたシステムが脆弱性を抱えていることが判明し、数か月または数年後に悪用されるなど、長期的な影響が出ることになります。
組織は、Log4j を深く使用しているサービスとアプリケーションのインストールを特定してパッチを適用するだけでなく、それらが侵害されたかどうか、侵害された場合にどのような情報が危険にさらされたかを調査し、場合によっては侵害されたと仮定してそこから作業を進める必要があります。
CISA は GitHub 上に、Amazon クラウド サービスから VMware ツールまで、影響を受けるソフトウェアと製品の大きなリストや関連アドバイザリなど、役立つリソースを多数用意しています。
「CISAは、log4jソフトウェアライブラリを含む製品に影響を与える重大な脆弱性に積極的に対処するために、公共部門および民間部門のパートナーと緊密に協力しています」とCISAのジェン・イースターリー局長は週末に語った。
この脆弱性は、ますます多くの脅威アクターによって広く悪用されており、その広範な利用状況から、ネットワーク防御者にとって喫緊の課題となっています。エンドユーザーはベンダーに依存することになるため、ベンダーコミュニティは、このソフトウェアを使用している幅広い製品を直ちに特定し、軽減策を適用し、パッチを適用する必要があります。
「ベンダーは顧客とコミュニケーションを取り、自社製品にこの脆弱性が含まれていることをエンドユーザーに知らせ、ソフトウェア更新を優先させる必要がある。」
これまでのところ、CISA は、Log4j によるセキュリティ侵害を受けた米国連邦政府機関は認識していないと述べています。®
