12月10日にゼロデイ脆弱性があることが判明したJavaライブラリのLog4j。
悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになるようです。
広範囲に影響が及ぶ可能性があり、災害級の案件だと声が上がっています。
目次
Minecraftの一部サーバでは対応を進めている
Minecraftでは、チャットに悪意のある文字列を書き込んだりするなどしてログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されているそうです。
さのため、既に、Minecraftの一部サーバでは、閉鎖やパッチの適用などの対応を進めているそうです。
影響は広範囲に及ぶ可能性が強い
Webセキュリティ製品などを手掛けるアメリカのLunaSecの報告では、Minecraftの他、ゲームプラットフォームのSteamやAppleのiCloudもこの脆弱性を持つことが分かっていて、影響は、広範囲に及ぶ可能性が強いそうです。
脆弱性の影響があるLog4jのバージョン
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていました。
しかし、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されています。
脆弱性への対策
脆弱性への対策には、修正済みのバージョンの2.15.0-rc2へのアップデートが推奨されています。
脆弱性に対して付与されるCVE番号
セキュリティニュースサイトのCyber Kendraでは、この脆弱性に対して付与されるCVE番号は、CVE-2021-44228だそうです。
Twitterでも続々反応
脆弱性の報告を受け、Twitter上では、ITエンジニアたちが続々反応しています。
「やばすぎる」
「思っていたよりずっとひどいバグだった」
「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」
などの声が上がっています。
Twitterでのゼロデイ脆弱性への反応
@kaisyakushinai 簡単に言うと、
「公開webサーバのサイトで、悪意を持った人が、ある不正なデータ(文字列)を入力して、サーバ内で好き勝手にプログラムを実行できる」っていうゼロデイ脆弱性が見つかったってこと。
しかも、log4jはJavaで使われているライブラリで多くのwebサイトで使われているから影響力がエグい
— よしP(@yoshipy_meijo)Sat Dec 11 07:12:35 +0000 2021
@kaisyakushinai とにかく結構やばいってこと
参考までに⏬
— よしP(@yoshipy_meijo)Sat Dec 11 07:17:56 +0000 2021
ゼロデイ攻撃とは言うけどゼロデイ脆弱性って言うのか…?
脆弱性が対応/修正される前にそれを利用して攻撃するからゼロデイ攻撃と呼ばれているのでゼロデイという脆弱性があるわけではないような🤔
— はるすぷりんぐ@vtuber(@ha1sprin9)Sat Dec 11 07:31:25 +0000 2021
などとトレンドを見て思ってたけど、引用されてる記事にゼロデイ脆弱性ってワードがタイトルに使われてるのかなるほど?
— はるすぷりんぐ@vtuber(@ha1sprin9)Sat Dec 11 07:33:53 +0000 2021
ゼロデイ攻撃 … 脆弱性が発見された当日など、回避する手段が無い状態での攻撃。
— IPAキーワード(@ipakeywordbot)Sat Dec 11 08:44:17 +0000 2021
Javaライブラリの脆弱性について、rceは勿論とんでもないですけど、ゼロデイ状態だった事がもっとやばいと思うんです。
— ねむ?!(@Nemu_627)Sat Dec 11 09:04:54 +0000 2021
log4jのゼロデイ脆弱性そんなやばいの。何がやばいのか難しいけど誰でも外部から特定のコードを実行できるってことでいい?
— 𝔼𝕧𝕖𝕟(@Ev7010)Sat Dec 11 10:03:25 +0000 2021
log4j2の脆弱性を狙ったアクセスが手当たり次第に来ているので、攻撃の条件が成立していて「週明けに対応します」くらいの温度感で運用されているシステムはもう結構危ないのではないかな……金曜昼前くらいからゼロデイが騒がれ始めるというタイミングが情報収集力や緊急時の初動の試金石になった
— Takuto Wada(@t_wada)Sat Dec 11 11:08:16 +0000 2021
ゼロデイで出てきたと言ってるがver2から出てたらしいから元々あった脆弱性なのね
— 鏡(@kakipkagami)Sat Dec 11 11:19:32 +0000 2021
ゼロデイ攻撃とは、ソフトウェアなどのセキュリティホールが発見されてから、その情報公開や対策が講じられる前に、そのセキュリティホールを狙う攻撃のこと。脆弱性発見から日にちを空けない攻撃が名前の由来。
— 【最新】IT用語bot(@ITbot15)Sat Dec 11 12:35:58 +0000 2021
Javaのゼロデイ脆弱性で任意コード実行可能になってる話、のっちのTLで見たっけ…?情報学部TLらしくないな
— 眠い個人(@nemui_student)Sat Dec 11 14:43:20 +0000 2021
先日のLog4jのゼロデイ脆弱性の件をJavaの歴史から紐解くとあり得ない話ではないわけか。勉強になるなー
— kazz@毎日牛乳(@rockettwiter)Sat Dec 11 16:34:31 +0000 2021
あ、これLog4Jのゼロデイ脆弱性を修正したSpigotをまた構築する必要あるやんけ。
— める(@merunno)Sat Dec 11 18:37:34 +0000 2021
この際、paperでも入れるかな
— める(@merunno)Sat Dec 11 18:38:14 +0000 2021
【Zero-day exploit】ボ
a zero-day 未判明・未修正の脆弱性
an exploit 脆弱性を悪用した攻撃
▶︎ Google has patched a zero-day being actively exploited in the wild.
Google は今まさに被害の出ている Chrome のゼロデイ脆弱性を修正した。
☆ in the wild (ウイルスが)流行している
— ε=/╹△╹\<音ゲーで覚える英単語bot(@Rind_jockey)Sat Dec 11 19:49:19 +0000 2021
log4j脆弱性の件は、ゼロデイ攻撃の脆弱性が発見された時にどれだけ早急に確認・対応ができるかを試すための大規模な社会実験な気がしてきました。 #セキュリティ #IT #Java #log4j #ゼロデイ #ホワイトハッカー #脆弱性
— ちえぴょん@CEO(@chie_0218)Sun Dec 12 00:51:58 +0000 2021
Log4Jのゼロデイ脆弱性の問題、SLF4Jかましていればロギング実装をLogbackとか他の実装に変えるだけで済みそうな気がするが、こういう時にFacadeパターン使っとくと威力を発揮するものだと思ってる
— roku_sui(@roku_sui)Sun Dec 12 02:13:34 +0000 2021
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か (2021年12月10日)。ヾ(・ω・`)ノ
— たらい猫(@tarainoneko)Sun Dec 12 02:28:02 +0000 2021
ゼロデイ脆弱性、いざ実際に起きるとこんなんなるんだな…
— 雷鳥(@TRPG_Laichou)Sun Dec 12 03:44:36 +0000 2021
ゼロデイ攻撃 … 脆弱性が発見された当日など、回避する手段が無い状態での攻撃。
— IPAキーワード(@ipakeywordbot)Sun Dec 12 08:13:42 +0000 2021
この週末あたりは Log4j2 の対策ができてないところに攻撃を仕掛けまくる祭が裏社会で展開されているんだろうと思うけど、裏社会のガチ勢はそれと並行して、まだ残っていそうな未知の脆弱性を目を皿にして探してるんじゃないですかねえ。ゼロデイどころか攻撃されてから発覚するようなのが出そう
— Dai MIKURUBE(@dmikurube)Sun Dec 12 14:48:44 +0000 2021
あれみて「絶対他にもあるやろ…」と思った人は多いと思う
— Dai MIKURUBE(@dmikurube)Sun Dec 12 14:49:12 +0000 2021
まあそういうのは大量攻撃じゃなくてターゲティングで細く狙い撃つんだろうから、目立たないままになりそうだけど。案外、このゼロデイで Log4j2 使ってるところをあぶり出してから、更新して対処しました! って言ってるところを未知の脆弱性で狙い撃ってるんだったりして…
— Dai MIKURUBE(@dmikurube)Sun Dec 12 14:53:16 +0000 2021
案外でもなんでもないか。攻撃者ならそれくらいはふつーに考える。ただのゼロデイお漏らしならよかったねって話で済むけど、はて…
— Dai MIKURUBE(@dmikurube)Sun Dec 12 14:55:50 +0000 2021
Apacheのゼロデイの脆弱性はやく修正されないかなー
— tail(@trigger_418)Sun Dec 12 15:09:26 +0000 2021
Nulab 社が提供しているサービスって、log4jの脆弱性の影響受けてないの?何も公式見解ないから分からない。 #Java #log4j #ヌーラボ #脆弱性 #セキュリティ #ゼロデイ #Backlog
— hayu(@hayusasaki)Sun Dec 12 23:53:51 +0000 2021