メインコンテンツにスキップ
すべての製品を見る
コンピュート
ストレージ
Databases
ネットワーク
開発者ツール
デリバリー
セキュリティ
サービス
産業分野
料金
コミュニティ
当社と連絡を取る
エクスペリアブログ
カテゴリー
13
  1. クラウド関連の概要
    51
  2. コンピュート
    24
  3. コンテナ(Kubernetes、Docker)
    34
  4. Databases
    21
  5. 開発者ツール
    41
  6. Linode 
    259
  7. Linux
    69
  8. マルチクラウド
    4
  9. ネットワーク
    32
  10. オープンソース
    6
  11. パートナーネットワーク
    7
  12. セキュリティ
    60
  13. ストレージ
    23
著者 55
  1. Alex Leung 2
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Stuart Macleod 1
  49. Shawn Michels 1
  50. Linode Support 14
  51. Tom Asaro 18
  52. Travis Baka 2
  53. Talia Nassi 12
  54. Tim Vereecke 1
  55. Yuri Goldfeld 1
ブログセキュリティLinodeセキュリティダイジェスト 2021年12月12日~19日

Linodeセキュリティダイジェスト 2021年12月12日~2021年12月19日

Linode 
The Linode Security Team
2021年12月14日
Linode セキュリティダイジェスト

注:この記事は2021年12月15日に更新され、2021年12月20日に再度更新されました。

今週は、多くの企業がパッチの適用に追われているLog4j2の脆弱性について説明しますが、その前に、この脆弱性に関してお客様から寄せられた懸念の声を紹介します。

LinodeのLog4j2への対応について 

  • 12月10日(金)に公開されてから数時間のうちに、この重要なゼロデイ脆弱性のリスク範囲と影響を当社の全サイト(インフラ )で徹底的に評価しました。
  • 私たちは、綿密なセキュリティ制御アーキテクチャの助けを借りて、失敗したエクスプロイトの試みを観察しました。
  • 当社の環境では、この脆弱性に関連した侵害の兆候は観測されていませんが、この脆弱性などに関する既知のIoCについて、当社のインフラ を継続的に監視しています。

Log4j2 クリティカルなリモートコード実行の脆弱性 (CVE-2021-44228)

Log4j2は、一般的に使用されているApache ロギングユーティリティLog4jの後継です。このコンポーネントはJavaで書かれており、Apache Logging Servicesの一部です。Oracleによると、Java Naming and Directory Interface (JNDI)は、アプリケーション・プログラミング・インターフェース(API)であり、Javaで書かれたアプリケーションにネーミングとディレクトリ機能を提供する。 

先週、Apache は、Log4j のセキュリティ脆弱性のページで、log4j-coreの 2.0-beta9 から 2.14.1 までのバージョンに深刻な脆弱性があることを公表しました。この脆弱性により、ログメッセージやログメッセージのパラメータを制御できる攻撃者が、LDAPサーバーから読み込んだ任意のコードを実行することができます。実際には、外部の攻撃者に悪用されます。この脆弱性は、攻撃者が影響を受ける各システム上で任意のコードを実行することができるため、CVSSスコアは10点満点中10点と評価されました。この問題は、12月初旬11月下旬に発生した2つのJiraの問題に基づいてJNDIルックアップの動作を無効にした2.15のアップデートによって軽減されています。Apache は、このコンポーネントについて後から見つかった他の問題に対処するために2.17もリリースしました。

脆弱性の影響

Log4j2は、複数のベンダーが多数の製品で使用している一般的なJavaロギングフレームワークです。この脆弱性は、HTTPリクエストヘッダのUser-Agent文字列を操作して、脆弱なシステムにリクエストを送信することで、容易に悪用することができます。この種の攻撃に使用できるヘッダはUser-Agentだけではありませんが、悪意のあるペイロードを使用すると、脆弱なLog4j2コンポーネントが悪意のあるサーバのJNDIルックアップを引き起こします。HTTPヘッダに埋め込まれた悪意のあるURIに悪意のあるJavaクラスファイルへのパスが含まれている場合、このファイルがサーバのプロセスに注入され、攻撃者が影響を受けるシステムにアクセスできるようになります。現在、複数のペイロードやバイパスが自然界で観測されており、一般的な防御メカニズムを用いた防御が難しくなっています。

攻撃のイメージ図

スイス政府のコンピュータ緊急対応チームが作成した以下の図は、この攻撃がどのように機能し、どのように軽減するかを理解するのに役立ちます。

"Log4j JNDI攻撃「による SGCERTCC BY-SA 4.0.

対象となる製品

多くのベンダーが、この脆弱性を緩和するための声明を発表しており、これらの声明は、影響を受けるお客様にとって有用なリソースとなるでしょう。以下のリンクから、影響を受ける製品の詳細をご覧いただけます。これは、すべての影響を受ける製品の包括的なリストではありません。影響を受けるベンダーとその製品の完全なリストについては、Github上でSwitHak氏が作成したリストや、TechSolvency社が共有している別のリストを参照してください。

公式の緩和策

Log4jのセキュリティページでは、Apache 、この脆弱性に対処するための複数の方法があるとしていますが、これらの方法は、すべての脆弱な製品で同じように機能しない可能性があることに留意する必要があります。詳細は、当該脆弱性に関するベンダーのセキュリティステートメントをご参照ください。

  • Java 8(以降)をお使いの方は、リリース2.17.0にアップグレードして、最近発見された他の脆弱性とともに、この脆弱性に対処してください。
  • Java 7を必要とするユーザーは、リリース2.12.2にアップグレードしてください。
  • これらの2つのステップが不可能な場合、緩和策として、以下のようなコマンドを使用してクラスパス(log4j-core-*.jarと表示)からJndiLookupクラスを削除します。
zip -q -d log4j-core-*.jar
org/apache/logging/log4j/core/lookup/JndiLookup.class

私たちは、今回のように重要なものであれ、影響の少ないものであれ、脆弱性を軽減するための知識をコミュニティと共有できることを誇りに思います。ご意見、ご感想などは下記のコメント欄にお寄せください。

こちらもどうぞ...

ハリーとのコンプライアンス・オートメーション

コンプライアンス自動化ツール解説|データと顧客を守る

このビデオでハリーは、コンプライアンス・オートメーションの意義を説明し、Chefのようなコンプライアンス・オートメーション・ツールの使い方を紹介する。
セキュリティ
スティーブ・ウィンターフェルドによるランサムウェア攻撃から身を守る方法。

ランサムウェア攻撃から身を守るには|アカマイ、Steve Winterfeld

このビデオでは、アカマイのアドバイザリー CISO、Steve Winterfeld が、企業がランサムウェア攻撃から身を守る方法についてアドバイスします。
セキュリティ
Wazuhは、Code with Harryを特徴とするサイバーセキュリティの強豪企業である。

Wazuhはサイバーセキュリティの強国|オープンソースセキュリティのエキスパートMonitoring & Response

CodeWithHarry(@CodeWithHarry)は、セキュリティ・データの収集と分析に使用されるオープンソースのセキュリティ・プラットフォーム「Wazuh」を取り上げている。
セキュリティ

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。