ライブデモ:Nozomi Networks 15分でわかるプラットフォーム
今すぐ登録
アカデミー
ラボ
採用情報
パートナーログイン
サポート
Log4j Exploitの試みは1年後も続いている

Log4j Exploitの試みは1年後も続いている

Nozomi Networks ラボ
|
2022年12月29日

Log4jは、最も人気のあるロギングライブラリの1つで、システムやアプリケーション内のイベントやアクティビティを追跡するログファイルを作成するために使用されます。Log4jは、最小限のオーバーヘッドコストと高いパフォーマンスで、ローカルとリモートの両方のアプリケーションから大量のデータをキャプチャするために使用することができます。しかし、2021年12月、セキュリティ研究者がLog4jのゼロデイ脆弱性を発見した。

この情報公開を受けて、Apacheは複数のソフトウェア・アップデートをリリースし、セキュリティ・チームはネットワークを保護するための追加対策を講じた。しかし、予想されたように、悪意のある行為者はまだLog4jを悪用しようとしています。これらの継続的な試みをより良く可視化するために、私たちは、情報共有を選択した顧客からの匿名化された遠隔測定を活用しています。これにより、OT/IoT 環境を特にターゲットにしたLog4jの試みについての洞察を得ることができます。

このブログでは、Log4Shellを振り返り、ラボからの技術的な洞察を提供し、ネットワークを保護し続けるための推奨事項とベストプラクティスを再確認します。

Log4Shellのまとめ

Log4Jの脆弱性(CVE-2021-44228)は、"Log4Shell "と名付けられ、共通脆弱性スコアリングシステム(CVSS)のスコアが10点満点中10点で、悪意のある行為者が脆弱なサーバー上でリモートからコードを実行する可能性がある非常に悪用しやすいものです。最初の情報公開の数日後、別のLog4jの脆弱性であるCVE-2021-45105がリリースされ、脅威行為者がサービス拒否(DoS)攻撃を仕掛けることができるようになりました。

Log4jは、ルックアップとして知られている機能を利用します。使用できるルックアップは複数ありますが、Log4Shellが利用するのは以下の2つです:

  1. Java Naming and Directory Interface (JNDI)ルックアップは、ユーザーがネットワーク接続を通じてリモートで保存されているリソースにアクセスすることを可能にする。これにより、接続を確立するために必要な情報を簡単に検索できる。
  2. 環境ルックアップは、Log4Shellが使用されているマシンにある環境変数へのアクセスをユーザに提供します。これは、使用しているマシンからアクセス可能なユーザー定義の環境変数に、Log4Shellからアクセスできることを意味します。

この場合、Log4jユーティリティはデフォルトでメッセージ検索置換を有効にしていました。これにより、脅威行為者はリクエスト内に悪意のあるコードを埋め込むことができ、ユーザーの介入なしにLog4jが自動的に実行されるようになります。

CVE-2021-44228の包括的な概要については、Log4shellの技術的な分析をこちらでお読みください

Nozomi Networks ラボからの洞察

Log4Shellの公開直後、当社のセキュリティ研究者は、顧客の環境における潜在的なLog4shellの活動を特定するためのパケットルールを開発しました。参加している顧客からの匿名化された遠隔測定を活用することで、Log4j の悪用試行の普及に関する貴重な洞察を得ることができました。

2022年5月16日から11月16日の間に、少なくとも14の顧客環境において、60,000件を超えるファーストステージおよびセカンドステージの試行が記録されました。以下は、以下のプロトコルを使用したエクスプロイトの試行の内訳です:

1回目と2回目のペイロードの位置
図1.1回目と2回目のペイロード試行で使用されたプロトコル。
図2.1回目と2回目のペイロードの試行位置。

私たちの遠隔測定に基づくと、TCPを使用して脆弱なサーバーのJDNIルックアップを悪用する試みが40,000回ありました。脅威行為者は、UDPやHTTPよりもTCPを好んで使用します。なぜなら、TCPを使用することで、ターゲット・システムとの信頼性の高い接続を確立できるため、既知のセキュリティ脆弱性を悪用しやすくなるからです。TCPはまた、暗号化と認証によって転送されるデータのセキュリティを提供するため、脅威者は傍受されることなくデータを転送することができます。

LDAPS、RMI、DNSへのクエリが試みられていますが、脅威行為者は約40,000回LDAPへのクエリを試みています。LDAPは標準化されたプロトコルであり、ほぼすべてのオペレーティングシステムやさまざまなプログラミング言語で使用できるため、脅威行為者はこのプロトコルを使用したアプリケーションやスクリプトを比較的容易に構築することができます。

推薦の言葉

Log4jの公開から1年が経過しましたが、脅威行為者は、パッチの適用されていないシステムを危険にさらすことを期待して、脆弱性を悪用することに依然として執着しています。これは、CVE-2021-44228CVE-2021-45105、および他の脆弱性から組織を保護するために、Log4jが最新バージョンに更新されていることを確認することが重要である理由です。

脆弱性資産の資産目録、ネットワーク・スキャン、脅威ハンティングなど、CISAが推奨するその他の緩和策については、ここをクリックしてください。

また、Nozomi Networks 、Log4shellからどのようにお客様を保護しているかについての詳細情報は、こちらをご覧ください。

見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
Nozomi Networks ラボ
著者について

Nozomi Networks ラボ

Nozomi Networks ラボは、世界の産業および重要インフラ組織のサイバーリスク低減に取り組んでいます。サイバーセキュリティの研究と産業界や機関との協力を通じて、日常生活を支える運用システムの防御に貢献しています。

関連記事

和合PLCの脆弱性:産業施設のリスクを理解する

アドバンテックEKIアクセス・ポイントにOver-the-Air 脆弱性が発見される

マングース狩り:Mongooseウェブサーバーライブラリにおける10の脆弱性の発見

信頼の問題:マター・プロトコルの脆弱性を暴く

サブスクライブ

LinkedIn

デモ

プラットフォーム

プラットフォームの概要VantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat Intelligence (脅威インテリジェンス)Smart PollingPSIRT

プロフェッショナルサービス

概要デザイン配備ファストトラック最適化プロジェクト管理

ソリューション:ビジネスニーズ

脅威の検知と対応継続的なネットワーク監視資産在庫管理リスクと脆弱性の管理IoT セキュリティデータセンターのサイバーセキュリティ

ソリューション:コンプライアンス

NERC CIPNIS2 指令TSA セキュリティ指令

ソリューション:産業

空港電気事業ヘルスケア連邦政府製造業海事鉱業石油&ガス医薬品鉄道小売スマートシティ上下水道

詳細

パートナーリソース会社概要お問い合わせアカデミー採用情報ラボリーガル
LinkedIn ロゴ
© 2024 Nozomi Networks Inc. All Rights Reserved.プライバシーポリシーと認証。システムの状態