CVE-2021-44228 - Apache Log4j の脆弱性

米国時間2021年12月12日に掲載されたフォーティネットブログの抄訳です。

サマリー：Apache Log4j の脆弱性

Log4j は、Apache 内の Java ベースのロギング監査フレームワークです。Apache Log4j2 2.14.1 以下には、リモートコード実行の脆弱性があり、攻撃者はこの脆弱性を利用してマシンを完全に制御することが可能です。

このモジュールは、他のソフトウェアの必要環境に含まれているため、多くの製品に含まれている可能性があり、悪用が容易です。直ちに、システムのインベントリーを作成し、改善の優先順位をつけるために、行動を起こすことが重要です。

影響を受けるバージョン

• Apache Log4j 2.x <= 2.15.0-rc1
• CVSS: 10 (クリティカル)

概要：Apache Log4j の脆弱性

数日前まで、ほとんどの人はLog4j2ソフトウェアについて全く知らなかったでしょう。しかし、このあまり知られていないモジュールは、他の大規模なソフトウェアで一般的に使用されているため、様々な製品や場所に存在しています。スウェーデンのオンラインゲーム開発会社であるMojang Studiosは、彼らのユーザーであるMinecraftのサーバーが侵害されたことを受けて、初期の段階で警鐘を鳴らしていました。

この脆弱性は、Apache Struts2、Apache Solr、Apache Druid、Apache Flinkなど、Apple、Amazon、Google、Twitterなど、フォーティネットも含む数多くの企業で利用されているApacheフレームワークのデフォルト設定に影響を与えるものです。

この脆弱性は、特定のJNDI文字列をLog4jソフトウェアに送信するだけで、図のように悪意のあるソフトウェアのインストールを誘発します。

この問題は悪用されやすく、このソフトウェアが広く利用されていることから、複数の攻撃ベクトルが存在することになります。今後数ヶ月の間に、さらに多くの問題が発覚することが予想されます。FortiGuard Labsでは、すでに検出された攻撃の数が急速に増加しています。

北米とブラジルのデバイスに集中していますが、これは現時点で特にターゲットにされているというよりも、これらの国の規模が関係していると思われます。

フォーティネットによる問題の減災

フォーティネットは、このインシデントに対してアウトブレイクアラートを作成し、お客様が IOC（Indicators of Compromise：侵害指標）を追跡し、フォーティネット セキュリティ ファブリックを使用してこの問題に対する保護を適用できるようにしました。