Cloudflareによると、Log4Shellとして知られる脆弱性に対する最も初期の活動は12月1日からであったという。
の使用法 厄介な脆弱性 Java ロギング ライブラリ Apache Log4j では、認証されていないリモート コードの実行が許可されており、早ければ 12 月 1 日には開始されていた可能性があります。
「これまでに発見した #Log4J エクスプロイトの最も初期の証拠は 2021-12-01 04:36:50 UTC です」と Cloudflare CEO の Matthew Prince 氏は述べています。 ツイッターで言った.
「それは、それが公表される少なくとも9日前には野生であったことを示唆しています。 ただし、大規模な搾取の証拠は一般に公開されるまで見ないでください。」
Cisco Talos 氏は次のように述べています。 ブログ投稿 CVE-2021-44228 として知られる脆弱性の活動が 12 月 2 日から観察されており、侵害の痕跡を探している人は、少なくともその時点まで遡って検索を延長する必要があると述べています。
Talos 社は、影響を受けるライブラリが遍在しているため、攻撃者が大量のスキャンを実行してからコールバックに至るまでのリードタイムが発生していると述べました。 これは、SIEM やログ コレクターなど、脆弱ではあるがターゲットになっていないシステムがトリガーされたことが原因である可能性があります。 悪用する。
と付け加えた。 Miraiボットネット 脆弱性を利用し始めていました。 の研究者 Netlab 360 は次のように述べています。 彼らは、Log4j の脆弱性が、 ムフスティク Linux デバイスを狙った Mirai ボットネット。
週末にかけて、ベンダーはパッチの配布と影響を受ける製品の回避策の文書化を急いでいる。 最終結果は、次のような製品マトリックスになりました。 ヴイエムウェア そして シスコ 製品によっては、パッチが提供されているものもあれば、回避策があるものもありますが、依然として脆弱な製品もあります。 どちらのベンダーも CVE-2021-44228 を完璧な 10 としてスコア付けしました。
推奨される回避策は通常、log4j2.formatMsgNoLookups フラグを true に設定するか、Java で使用されるクラスパスから JndiLookup クラスを削除します。
あ レディットの投稿 NCC グループの は定期的に更新されており、このエクスプロイトを使用して AWS の秘密やあらゆる種類の Java システム プロパティを漏洩する方法が示されています。
あるセキュリティ研究者は次のことを行うことができました。 エクスプロイトをトリガーする 行くことで リトルボビーテーブル 彼のiPhoneの名前に。
ソフォス 言った この脆弱性はすでにクリプトマイナーによって使用されていることがわかりました。
もっと楽しい面では、Minecraft MOD 開発者がこの脆弱性を利用して、 Minecraft サーバーを代わりに Doom をプレイするサーバーに変更.
「文脈によっては、これは改造されたサーバーに接続する完全にバニラのクライアントであり、このエクスプロイトを通じてコードを送信して実行し、破滅を実行します。」 ゲギー 言った。
Microsoftの脅威アナリスト、Kevin Beaumont氏は、多層防御が「おそらく最善の選択肢」だと述べた。
「Log4Shell についてネタバレすると、攻撃対象領域が確立されるまでに数週間かかり(規模が大きい)、パッチが利用可能になるまでにおそらく 1 か月以上かかるでしょう」と同氏は述べた。
関連報道
- セキュリティ警告: Log4j Java ライブラリの新しいゼロデイはすでに悪用されています
- ハッカーは、悪意のある JavaScript コードを強力なトリックで偽装しています。
- ボルボ、サイバー攻撃で一部の研究開発ファイルが盗まれたと発表
- ブラジル保健省がサイバー攻撃を受け、新型コロナウイルスワクチン接種データが消失