Threat Hunter TeamSymantec
Posted: 1 Min ReadJapanese
Original Post: English

実際の環境で悪用されたApache Log4jのゼロデイ脆弱性

シマンテック製品は深刻な脆弱性CVE-2021-44228の悪用の試みから防御

2021年1220日更新:  Apache Software Foundationは、Log4jの3つめの脆弱性に対応するパッチをリリースしました。Log4jのバージョン2.17.0は、前のリリース(2.16)で問題が発覚した後、12月17日にリリースされました。Apacheによると、2.16 はルックアップ評価時の無限再帰を防止できない場合があり、サービス拒否(DoS)につながる脆弱性CVE-2021-45105があるということでした。

2021年1215日更新: ApacheはLog4jの2つ目の脆弱性 に対してパッチを適用しました。この脆弱性(CVE-2021-45046)は前の脆弱性(CVE-2021-44228)に対する修正が、すべての状況におけるエクスプロイトを完全には防止できなかったことから発生しました。

Apacheによると、この脆弱性はデフォルト以外の特定の設定で発生するということです。この脆弱性を悪用すると、「JNDIのルックアップパターンを使用して悪質な入力データを作成し、サービス拒否(DOS)攻撃を引き起こす」ことが可能です。

Apache Log4jにゼロデイ脆弱性(CVE-2021-44228)が見つかりました。悪用された場合、この脆弱性のあるシステムに対してリモートの攻撃者が任意のコードを実行できるようになります。この脆弱性のエクスプロイトコードはLog4Shellと呼ばれ公開済みで、多数の攻撃者がすでに悪用を試みています。

Q: シマンテックはエクスプロイトの試みから防御できますか?

A: はい。シマンテック製品は以下の検出機能によって、エクスプロイトの試みから防御します。

ファイルベース

  • Trojan.Maljava
  • CL.Suspexec!gen106 
  • CL.Suspexec!gen107 
  • CL.Suspexec!gen108 
  • Miner.XMRig!gen2
  • Ransom.Khonsari
  • Ransom.Tellyouthepass
  • Ransom.Tellyouthepa!g1
  • Ransom.Tellyouthepa!g2
  • Linux.Kaiten
  • トロイの木馬

機械学習ベース

  • Heur.AdvML.C

ネットワークベース

  • Attack: Log4j2 RCE CVE-2021-44228
  • Attack: Log4j2 RCE CVE-2021-44228 2
  • Attack: Log4j CVE-2021-45046
  • Attack: Malicious LDAP Response
  • Audit: Log4j2 RCE CVE-2021-44228
  • Audit: Malicious LDAP Response
  • Audit: Suspicious Java Class File Executing Arbitrary Commands

メールベース

  • シマンテックのメールセキュリティ製品が対象

Symantec Data Center Securityは、この脆弱性に対してサーバーワークロードに以下のような幅広い保護策を提供しています。

  • 防止ポリシーによってシステム上でのマルウェアのドロップや実行を防止します。
  • Log4jを使用するサーバーワークロードからのLDAP、http、その他のトラフィックとコンテナ化されたアプリケ-ションが、内部の信頼できるサーバーへ送られないようブロックまたは制限します。
  • サンドボックスを使用する防止ポリシーが、悪用可能なツールの実行や資格情報の窃取を防止し、重要なシステムファイルとリソースを保護することで、リモートコード実行から保護します。

Webベース

  • WebPulseの観測対象のトラフィックは現在、通常のプロセスによってLog4jShellの脆弱性に対して保護されています。

Q: この脆弱性はどの程度深刻ですか?

A: Apache Log4jはJavaベースのロギングユーティリティです。クラウドや企業のソフトウェアサービスで広く使用されています。パッチの作成より前にエクスプロイトが見つかったことで、脅威の深刻さは増しています。

Q: この脆弱性はパッチが適用されていますか?

A: はい。ユーザーの皆様には、すぐにバージョン2.15.0に更新していただくことをお勧めします。Apacheも、以前のバージョンをご利用のユーザー様に緩和策を推奨しています。

Q: この脆弱性は実際に悪用されたのですか?

A: はい。エクスプロイトコードは公開されており、エクスプロイトが試みられたという報告が複数あります。現在まで、悪用は主に仮想通貨マイニング用ボットネットに集中しているようですが、あらゆるタイプの攻撃者がこのエクスプロイトを利用し始めるのも時間の問題です。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

About the Author

Threat Hunter Team

Symantec

The Threat Hunter Team is a group of security experts within Symantec whose mission is to investigate targeted attacks, drive enhanced protection in Symantec products, and offer analysis that helps customers respond to attacks.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.