掲載日:2021/12/17

CVE-2021-44228:「そうです、バージニア、ゼロデイは存在するのです。」

※ 本ブログは、2021年12月9日にHP WOLF SECURITY BLOGにポストされたCVE-2021-44228: “Yes, Virginia, There Are Such Things as Zero-Days”の日本語訳です。

 

12月9日、(邪悪な)サンタの妖精が、少し早めの厄介なクリスマスプレゼントとして、ゼロデイを届けてくれました。この 「Log4J 脆弱性」は、Alibabaの脅威研究者によって発見されたもので、広く使われているオープンソース・ライブラリに存在します。その詳細はこちらをご覧ください。

 

Apache Log4j ライブラリのバージョン 2 から 2.14.1 には、フォーマット文字列攻撃の脆弱性があり、アプリケーションを実行しているシステム上で任意のコードを実行される恐れがあります。この脆弱性がCVSS3のスコアで10に値する理由は、機会と影響という2つの要素にあります。Log4jは、最も人気のあるJavaロギング・ライブラリの1つであり、数多くのエンタープライズ・アプリケーション、Webサービス、オープンソース・フレームワークで使用されています。そのため、脅迫者が悪用できる潜在的なターゲットの数が多いのです。

 

残念ながら、この脆弱性をエクスプロイトすることは簡単です。認証されていない攻撃者が、悪意のあるJava Naming and Directory Interface(JNDI)参照を含む文字列を、Log4jによってコマンドとして評価されることがわかっている脆弱なアプリケーションに入力するだけでよいのです。

 その核心は、脆弱性によりJNDIの機能が不正に使用され、Log4jがリモートでホストされたJavaクラスを実行することを可能にすることです。脆弱性が公開されてから数時間後、攻撃者はこのルックアップ機能を悪用し、脆弱なサーバーにバックドアや暗号通貨マイナーを配信しました。

 

バージニア(とセキュリティ業界)は、ここから何を学ぶことができるでしょうか?それは、ゼロデイが存在し、それが悪用されて組織の大小を問わず不愉快な思いをさせられる可能性があるということです。進化し続ける脅威を阻止するためには、従来の検知ベースの技術に頼るのではなく、検知せずに保護するという観点で柔軟な防御策が必要です。つまり、プロセスを隔離して、仮に危険な状態になったとしても、キルチェーンを実行できないようにするのです。これが、Sure Click EnterpriseWolf Pro Security、Sure Access Enterpriseに搭載されているマイクロ仮想化の基本コンセプトです。あなたのホリデーシーズンのウィッシュリストに加えてみてはいかがでしょうか。

 

P.S. このタイトルの背景(確かに100年以上前の話ですが)を知らない若い人はこちらをご覧ください。