パスワードを忘れた? アカウント作成
15517159 story
Java

log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 64

ストーリー by nagazou
急増 部門より
Apache Log4j 2における深刻な脆弱性「Log4Shell(CVE-2021-44228)」の問題が世間を騒がせている。米Microsoftやセキュリティ企業のCheck Point Softwareなどの発表によると、この脆弱性が中国、イラン、北朝鮮、トルコなどの集団により悪用されているという。中国を拠点とする攻撃者集団「HAFNIUM」などがこの脆弱性を利用して仮想化インフラを攻撃しているととされる。12月10日以降、Log4Shellを用いたサイバー攻撃が72時間ほどで急増中とされ、1分間に100回以上の攻撃が検知された場面もあったとしている(GIGAZINEZDNetITmedia)。

またさらに新たな脆弱性「CVE-2021-45046」に関しても発覚が報告されている。Log4jを提供するApacheソフトウェア財団(ASF)によれば、CVE-2021-44228に対処するための修正パッチが不完全であったことから、DoS攻撃を引き起こす可能性があるとしてLog4jをバージョン2.16.0以降にアップデートするように呼びかけている(GIGAZINE)。

米国土安全保障省(DHS)傘下のサイバーセキュリティインフラストラクチャ安全保障局(CISA)は14日、連邦政府機関に対し、この脆弱性の影響を受けるシステムに対し、12月24日までにパッチを適用するよう指示したとされる(CISAITmedia)。またこの問題に関しては国内メディアでも多く取り上げられるようになってきた(JPCERT/CCNHK日経新聞)。

しかし問題に気付かない組織がこれからもいると見られ、今回の脆弱性をきっかれにした問題は広範囲かつ長期にわたる問題になるとの指摘も出ている(WIRED)。なおこの脆弱性がリモートから任意のコードを実行可能になることから、それでパッチも当てられるのではと考え、必要なものをワクチンとして開発した企業が出てきているという。セキュリティベンダーCybereason社が作成したもので、プロジェクトの名前は「Logout4Shell」。ソースコードは「GitHub」でホストずみ。ただしいろんな意味で問題があることから、Cybereason社も、このコードを使った結果には「一切の責任を負わない」としているとのこと(Logout4Shell窓の杜)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 世間が平和でよかった (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2021年12月17日 21時28分 (#4172010)

    このストーリーにこれだけのアレゲが既にいるということは少なくない数のアレゲが花金を堪能しているということだ。
    良かったよかった。

    • by Anonymous Coward

      花金って言葉自体が昭和くさいなぁ
      若い人知らなそう

      • by Anonymous Coward

        昭和臭いって発送発言が平成臭い。

        • by Anonymous Coward

          平成臭いって発想が令和臭い
          # 同じ誤変換するとこだった
          # マジレスすると昭和臭いって発想は昭和臭いと思う

      • by Anonymous Coward
        週休二日制は1988年(昭和63年)の労働基準法改正によるもので
        多くの企業や公務員・学校等で週休二日が始まったのは平成に入ってから。
        おそらくは「花金」は平成の言葉で、昭和にはそんな概念はなかった可能性が高い。
  • by Anonymous Coward on 2021年12月18日 13時13分 (#4172261)

    先ほどLog4jの公式サイト [apache.org]を見たところ、
    受ける影響がDoSからリモートコード実行に変わったようです。
    影響度もLowからCriticalになっています。

  • by Anonymous Coward on 2021年12月17日 21時40分 (#4172017)

    .NETerなので影響は無いのですが、例えばNewtonsoft.Jsonのような有名ライブラリで似たような脆弱性判明したらと思うと戦々恐々としてます…

    • by Anonymous Coward on 2021年12月17日 22時23分 (#4172039)

      log4netにもXXE脆弱性があるみたいだけど?

      https://jvn.jp/ta/JVNTA94851885/ [jvn.jp]

      親コメント
      • by Anonymous Coward on 2021年12月18日 0時10分 (#4172072)

        中身を読んだら、設定ファイルの脆弱性じゃないか。
        ワークアラウンドに「設定ファイルは信頼されたもののみを使用する」とある。
        これで防げる程度の脆弱性、今回とは比較にならない。

        親コメント
      • by Anonymous Coward

        log4net、log4jほどは使われてない印象。
        # 総数じゃなくて割合として

        • by Anonymous Coward

          Javaのヤツが使おうとするくらいかな。
          一度だけだな。
          まあ止めさせたけど。

      • by Anonymous Coward

        .NETならほぼNlogが圧倒的主流でしょう

      • by Anonymous Coward

        その脆弱性が攻撃に使われるような状況だともっとやべー攻撃が可能な状態になってるわボケナス

        • by Anonymous Coward

          この脆弱性の説明追っていくと書いてあるけど、要はフィールドデバイスと呼ばれる、周囲に人がいることを想定しない環境で使われる機器の規格でlog4netが必須だから、これはこれで大問題ではある

    • by Anonymous Coward

      rsyslog は大丈夫だよね?

  • by Anonymous Coward on 2021年12月18日 15時40分 (#4172302)

    log4j 1.xしか使ってない弊社には一分の隙も無かった・・・

  • by Anonymous Coward on 2021年12月17日 18時57分 (#4171932)

    少なくともWannaCryと同程度にはヤバいと

    • by Anonymous Coward

      古いJavaも結構現役だからなぁ、無いと思っていた場所で動いてたりして怖い

      • by Anonymous Coward

        Oracleは金さえ払えば無期限にサポートするので

  • by Anonymous Coward on 2021年12月17日 19時23分 (#4171944)

    ふせげた?

    • by Anonymous Coward on 2021年12月17日 19時25分 (#4171946)

      設計(仕様)のバグだからどんな言語で開発してもダメでしょ。
      むしろダメ言語で開発したほうがバグで動かなくて助かるまである。

      親コメント
    • by Anonymous Coward

      RustとJavaならセキュリティはJavaの方が上じゃないの?

    • by Anonymous Coward

      ポインター絡みのバグ以外はどの言語使っても変わらんよ

      • by Anonymous Coward

        多くの場合、Rustならビルド出来ないことによって防がれるのでは?

        • by Anonymous Coward

          ネイティブコードを使う言語の場合この手のケースだとロギングツール側で動的にコードをコンパイル&リンクする機能を持ってる。まあ実装方法にもよるがリモートからコードを実行できる脆弱性が発生する可能性は消えない。
          実装が雑だとコンパイルエラーからのシステム停止もあるかも。あとオーバーフロー系の攻撃と組み合わせれば…

      • by Anonymous Coward

        Javaにポインタは無い(キリッ

    • by Anonymous Coward

      防げない、実装の問題じゃないし
      JNDI lookupという機能のせいなので

      • Re:Rustさんなら (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2021年12月17日 19時46分 (#4171959)

        ログのパースでJNDI lookupを発生させようとする発想のせいだろ。スクリプト言語で言えばログの文字列に対してevalするようなものだ

        親コメント
        • by Anonymous Coward

          この機能、何で必要だったんですかね…NOLOOKUPとかいうオプションがあるあたり、作った側も「これ要るの」っていう疑問があったんじゃないですかね…誰かこれなくなると困るひと、コメントお願いします。

          • by 90 (35300) on 2021年12月18日 14時49分 (#4172290) 日記

            来るべき2010年代においては、分散オブジェクト指向プログラミングが目指す「ネットワークこそがコンピュータ」思想が現界に体現され、30億のデバイスで走るJavaにおいては、クラスがJNDIを用いてTCP/IP経由でロードされ、そのクラス名はLDAPを用いて解決されることも当たり前になると予想されるのです。したがって、ログ取得ライブラリは、若し設計者がそのようにネットワーク上に分散したクラス名を解決して記録する必要があるとしたならば、そのクラスをメモリ上に展開し、まさしくコンストラクタを実行し、得られたクラス名を正しく記録することが、当然、求められるのです。何言ってんだこいつ。

            2020年代の言語で同じことを言うと「だってminifyしたjQueryでエラー出た時min.jsじゃない方CDNから取ってきて突き合わせてスタックトレース出たら便利じゃん、それのJava版」となります。これがjsだとSame-Originポリシーがあって安易に勝手サーバからは読み込めないわけですが、それこそが沈んでるコメに付いてるコメントの「思想がお花畑」ではないということなのでしょう。

            親コメント
            • by Anonymous Coward

              クライアントサイドの話ならJavaアプレットなんて何もできないくらい制限されてのに

          • by Anonymous Coward on 2021年12月18日 21時49分 (#4172429)

            個人的には、「これが要る」と仮定しても、
            (1)ログライブラリ側で実装する様なやり方は、ログライブラリの機能過剰(機能分散のバランス不良)
            (2)セキュリティ対策として、信頼できるサーバリスト等の制限が不可欠(多分、ネットワーク設計側(ファイヤーウォール)でアクセスコントロールさせる想定だったと思う。マイクラサーバの様に直接の公開サーバで使われることを想定していなかった(想定が不十分だった)。)
            ということと思う。

            >作った側も「これ要るの」っていう疑問があったんじゃないですかね

            これは、筋違いですよ。ふつうに考えて、NOLOOKUPの様なオプションは、デバッグ機能ですから。
            使う人が少ないけど、デフォルト無効にするべき、とまでは考えなかったんでしょう。(セキュリティ想定が足りなかったんでしょう。)
            猜疑心にとらわれると思考が嵌りますよ。

            親コメント
          • by Anonymous Coward

            致命的なエラーが発生してサーバ自動停止メールかツイッターかなんかに通知みたいなケースでらくできる。
            ログをリアルタイムないし周期的に監視してものによっては通知を飛ばすどうでもいいのはスルーみたいなツールは多い。それを一歩踏み込んでログをスクリプトかしちまえみたいなやつ。
            これいるのよりは多機能ロギングより高速動作を優先したい人向けに無効化オプションをつけたんでしょう。

            • by Anonymous Coward on 2021年12月18日 11時57分 (#4172217)

              javaって思想がお花畑なんだよなー。
              インターネットが平和で善意に満ち溢れた理想の世界っていう思想が根っこにある。
              1.5、1.6ぐらいから後付けでどんどんセキュリティ強化してくんだけど、言語やJREではなくて、
              エコシステム全体の古参の根っこがお花畑。

              最近の言語は、一つ間違えば即死のサザンクロスシティが前提。

              親コメント
    • by Anonymous Coward

      言語の穴やオーバーフローを突いたものではなく、想定通りの動作が危険という話ですから…Javaにダウンロードされたコードは実行させないという機能がビルトインされているなら話は別なんですが、そういう言語ありましたっけ?

      • by Anonymous Coward on 2021年12月17日 19時55分 (#4171965)

        環境だけどchromeの拡張のv3。

        親コメント
      • by Anonymous Coward

        JavaのSecurityPolicy使えば、特定のファイルにしかアクセスを許さないとかはできるから防げるのかもしれないけど、僕はやったことはないのでどこまで有効かはちょっとわからないですね。
        前調べたときは、面白そうだけど設定が細かくて面倒臭そうだな、ってぐらいで終わってる。

      • by Anonymous Coward

        javaのAccessControllerとかのsecurity apiがまさにそのためのフレームワークだけどサーバーで使ってないって理由で削除が決まってる。

      • by Anonymous Coward

        Appletとか信用できないコードを実行する想定の言語だし、権限制限する仕組みはあったのだけど
        遅いと言われる原因の一つだったわね

    • Re: (スコア:0, 荒らし)

      by Anonymous Coward

      ログにURLが書かれてたらそこからDLして実行する、という機能をRustで実装出来るかどうか。
      勿論実装可能だよ?そんな機能をログに入れようと思う方がどうかしてるだけで。

  • by Anonymous Coward on 2021年12月17日 20時18分 (#4171976)

    うちは Java 使ってないので安心
    #知らないところで使われている可能性・・・

    • Re:Java free (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2021年12月17日 21時22分 (#4172008)

      うちは Java 使ってないので安心
      #知らないところで使われている可能性・・・

      それもあるけど
      「パッチ当てたからダイジョブ」
      もヤバい

      すでに喰らっているところはパッチ当てたところで
      すでに汚染された内患は治癒されない

      任意のコードを実行可能を突かれた時点で
      初期化か完全ロールバックしてインバウンド止めてパッチ当てないと
      大丈夫にはならんわけで

      騒ぎ方もそのへん踏まえていない感がパない

      親コメント
      • by Anonymous Coward

        秘密鍵漏洩の可能性があるから証明書のrevokeもしなきゃいけないな。
        どこまでやられたかすらわからない事態がこんな規模で起きたというのは恐怖だ。

  • by Anonymous Coward on 2021年12月17日 21時01分 (#4172001)

    1分間に100回以上の攻撃が検知された場面もあったとしている

    攻撃が急増、毎分100件以上のペースで観測

    脅すぶんにはいいだろう、って感じかも知れんけどだいぶニュアンス違うよね

    • by Anonymous Coward

      マスゴミのやり口ですね

      • by Anonymous Coward

        スラドはマスじゃないから...

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...