米国時間2021年12月9日にJava向けのログ出力ライブラリ「Apache Log4j」に潜在するリモートコード実行(RCE)の脆弱性情報が公開されました。以来、数多くの記事で取り上げられたことは、「Log4Shell」と名付けられたこの脆弱性の影響力の大きさを物語っています。Log4jは、コード変更なく簡単にログを提供することから、多くのプログラムに用いられています。これは、攻撃対象領域が広範囲に及ぶことを意味すると同時に、Amazon社、Apple社、Cloudflare社、Google社、Tencent社、Twitter社など、Log4jを用いる多くの有名企業が脆弱性を有する標的組織として狙われる可能性があることを示唆しています。また、Log4jを用いる組み込み機器にまで影響が及ぶため、攻撃対象領域がさらに拡大しています。本ブログ記事では、車載デバイスや車両プロパティの中でもコネクテッドカーに影響するものとして、特に電気自動車用充電器、車載インフォテインメント(IVI)システム、自動車用デジタルキーの3つに焦点を当てます。
続きを読む米国時間2021年12月9日に公開された当時ゼロデイ脆弱性であったJavaのログ出力ライブラリ「Apache Log4j」上に存在する脆弱性「Log4Shell」(CVE-2021-44228)の影響により、Apache HTTP ServerのようなオープンソースのWebサーバを狙うサイバー攻撃が急増しました。攻撃者は、人々がWebサーバに依存していることを利用して、リモートコード実行(RCE)、アクセス制御におけるバイパス、サービス拒否(DoS)攻撃などを行ったり、侵害したサーバを乗っ取って暗号資産(旧:仮想通貨)を不正に採掘(マイニング)したりします。
サイバー攻撃から企業を守るには、ベンダがリリースした修正プログラム(パッチ)を適時適切に展開するだけでは不十分な場合があります。このため、ソフトウェア構成分析(SCA)を用いて、ソフトウェアサプライチェーンの各レイヤに内在する問題・課題を見つけ出し対処することが、2022年には必須となります。
続きを読む本稿では、Apache Log4jで確認されたサービス拒否(DoS)攻撃に関連する脆弱性(CVE-2021-45105)について説明しています。この脆弱性は「Log4Shell」(CVE-2021-44228)の直接的な亜種ではないものの、同種の攻撃経路であり、攻撃者が制御するログ情報のLookup機能を悪用する点で両者は類似しています。ただしこの脆弱性の場合、JNDI以外のLookupが悪用される可能性があります。
Apache Log4jのAPIは、Lookupにおける変数の置換をサポートしています。この際、細工された変数を用いることで、制御不能な再帰的な置換により、アプリケーションをクラッシュさせることが可能になります。つまりこれにより、Lookupのコマンドを制御できる攻撃者(例:Thread Context Map経由など)は不正なLookup変数を細工し、DoS攻撃を引き起こすことができます。この現象は、バージョン2.16.0 を含むLog4jの各バージョンのテストで確認されています。
続きを読む【追記情報:2021年12月21日(火)】Log4j2の新バージョン2.17.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。
Java向けのログパッケージとして広く利用されているApache Log4j上に存在する脆弱性が発見されました。この脆弱性は、細工したログメッセージを送信することで任意のコード実行が可能になります。すでにCVE-2021-44228として採番され、「Log4Shell」という名前が付けられています。この脆弱性は、2021年11月24日にApache上での存在が非公開で報告され、2021年12月9日にLog4jのバージョン2.15.0において、修正パッチが適用されました。この脆弱性は、Log4jのライブラリを使用する広範囲の製品に影響します。この脆弱性については既に12月11日の記事で第一報をお知らせしていますが、本記事ではこの脆弱性を悪用する手法と攻撃事例について報告します。
続きを読む