CISAのディレクター、 ジェン・イースタリーは、Log4jのセキュリティ上の欠陥は彼女が見た中で最悪だと言います 彼のキャリアで と セキュリティの専門家は結果に直面します 長い間エラーから。
パッチを当てないでおくと 4か月前にJavaApacheLogXNUMXjロギングライブラリで発見された主なセキュリティ上の欠陥 インターネットの大部分にリスクをもたらし、 ハッカーは、広く使用されているソフトウェアの脆弱性を悪用してコンピュータサーバーを乗っ取り、家電製品から政府や企業のシステムまで、あらゆるものをサイバー攻撃の危険にさらす可能性があります。
9月XNUMX日に発見されました Apachelog4jログライブラリの脆弱性。 このライブラリは、Java / J2EEアプリケーション開発プロジェクトだけでなく、標準のJava / J2EEベースのソフトウェアソリューションのプロバイダーによっても広く使用されています。
Log4jには、クエリに使用できる検索メカニズムが含まれています フォーマット文字列の特別な構文を介して。 デフォルトでは、すべてのリクエストはプレフィックスjava:comp / env / *で行われます。 しかし、それにもかかわらず、 著者は、カスタムプレフィックスを使用するオプションを実装しました 音部記号でコロン記号を使用します。 ここに脆弱性があります。jndi:ldap://がキーとして使用されている場合、要求は指定されたLDAPサーバーに送信されます。 LDAPS、DNS、RMIなどの他の通信プロトコルも使用できます。
そのため、 攻撃者によって制御されているリモートサーバーは、脆弱なサーバーにオブジェクトを返す可能性があります。 これにより、システム上で任意のコードが実行されたり、機密データが漏洩したりする可能性があります。 攻撃者がしなければならないのは、この文字列をログファイルに書き込むメカニズムを介して特別な文字列を送信することだけです。したがって、Log4jライブラリによって管理されます。
これは、Webフォーム、データフィールドなどを介して送信される単純なHTTP要求、またはサーバー側レジストリを使用するその他のタイプの対話を使用して実行できます。
- バージョン2.15.0は、別の問題であるCVE-2021-45046を解決しませんでした。これにより、リモートの攻撃者がスレッドコンテキストマップ(MDC)を制御して、JNDI検索パターンを使用して悪意のあるエントリを準備することができました。 その結果、リモートでコードが実行される可能性がありますが、幸いなことに、すべての環境で実行されるわけではありません。
- バージョン2.16.0はこの問題を修正しました。 しかし、Apache SoftwareFoundationが次のように説明しているCVE-2021-45105は修正されませんでした。
「ApacheLog2.0j1バージョン2.16.0-alpha4から2は、自己参照検索の制御されていない繰り返しから保護しませんでした。 レジストリ構成がコンテキストルックアップでデフォルトとは異なるテンプレートレイアウトを使用する場合(たとえば、$$ {ctx:loginId})、スレッドコンテキストマップ(MDC)入力データを制御する攻撃者がログインデータを作成する可能性があります。再帰検索を含む悪意のあるエントリ。 、プロセスを終了するStackOverflowErrorを生成します。 これは、サービス拒否(DOS)攻撃とも呼ばれます。
ベンダーに依存しないバグ報奨金プログラムであるZeroDay Initiativeは、この欠陥を次のように説明しています。
「ネストされた変数がStrSubstitutorクラスに置き換えられると、置換クラス()が再帰的に呼び出されます。 ただし、ネストされた変数が置き換えられる変数を参照する場合、再帰は同じ文字列で呼び出されます。 これにより、サーバー上で無限再帰とDoS状態が発生します」。
もうXNUMXつの重大なリモートコード実行のバグは、次のように追跡されています。 CVE-2021-44832が同じApacheLog4jログライブラリで発見されました。 これは、Log4jライブラリのXNUMX番目の脆弱性です。
CVSSスケールで6,6のスコアで重大度が「中程度」と評価されたこの脆弱性は、log4jでのJDNIアクセスに対する追加の制御の欠如に起因します。
Apacheセキュリティチームは、ApacheLog4Jの別のバージョンをリリースしました (バージョン2.17.1)最近発見されたリモートコード実行のバグCVE-2021-44832を修正します。 これはほとんどのユーザーにとってもうXNUMXつの悪い状況ですが、この重大な問題を修正するためにシステムを更新することを強くお勧めします。
米国の連邦機関は危険にさらされていません 脆弱性のため、ジェン・イースタリーは記者団に電話で語った。 さらに、米国ではこのバグに関連する主要なサイバー攻撃は報告されていませんが、多くの攻撃は報告されていません。
イースターリーは、脆弱性の程度を述べました、 インターネットに接続されている何千万ものデバイスに影響を与え、 それは彼が彼のキャリアの中でこれまでに見た中で最悪のものになります。 攻撃者は、攻撃する前に企業や他の人が防御力を下げるのを待って、時間を競うかもしれないと彼は言った。
「将来、Log4Shellが侵入に使用されることを期待している」とEasterly氏は述べた。 彼は、2017年のEquifaxのデータ侵害は、150億XNUMX万人近くのアメリカ人の個人情報を危険にさらしたものであり、オープンソースソフトウェアの脆弱性が原因であると述べました。
これまでのところ、バグを悪用するほとんどの試みは、低レベルの暗号通貨マイニングまたはデバイスをボットネットに誘い込む試みに焦点を合わせていると彼は言いました。
過剰設計が原因です。 各コンポーネントはXNUMXつのことだけを実行し、それをうまく実行する必要があります。 しかし、開発者には、レイヤーとより多くのレイヤーと不要な機能を配置するという悪い習慣があります。これにより、レイヤーがより複雑になり、このタイプの障害が発生しやすくなることはありません...私は言いました...