Microsoftが、世界的に問題になっているApache Log4jの脆弱性を、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認したそうです。
関連するアクティビティには、ターゲットに対する攻撃も含まれるそうです。
TwitterでのLog4j脆弱性の悪用への反応
log4jの脆弱性ってのは今急に発生したものなの?それとも何年も前からあったのが今更見つかったの?
既に見つけてた人がめっちゃ悪用してたとかの可能性もあるの?
— ちー🎐(@xChiy)Sat Dec 11 11:32:25 +0000 2021
>JavaベースのオープンソースのロギングライブラリのApache Log4jには、
>任意のコード実行の脆弱性(CVE-2021-44228)があります。
>Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する
>細工したデータを送信することで、任意のコードを実行する可能性があります。
— noronoro(@noronor40506454)Sat Dec 11 15:51:16 +0000 2021
>2021年12月11日現在、JPCERT/CCは、本脆弱性を悪用する実証コードが公開されていること、
>および国内にて本脆弱性の悪用を試みる通信を確認しています。
>対象となるバージョンは次のとおりです。
>- Apache Log4j 2.15.0より前の2系のバージョン
— noronoro(@noronor40506454)Sat Dec 11 15:51:17 +0000 2021
>2021年12月11日現在、JPCERT/CCは、本脆弱性を悪用する実証コードが公開されていること、
>および国内にて本脆弱性の悪用を試みる通信を確認しています。
>対象となるバージョンは次のとおりです。
>- Apache Log4j 2.15.0より前の2系のバージョン
— noronoro(@noronor40506454)Sat Dec 11 15:51:17 +0000 2021
Log4j 警告:サーバーソフトウェアに隠されたバグ
国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは脆弱性について警告
悪用されやすく、攻撃をブロックが困難、ハッカーがLog4j問題を利用し、今後何年にもわたって企業ネットワークに侵入する可能性
— tokyo_investment(@InvestmentTokyo)Sun Dec 12 08:09:56 +0000 2021
電子メールアドレスからWebナビゲーション要求まで、あらゆる種類のデータがサーバーによってログに記録されるため、これらの試みは、攻撃者に企業ネットワークの奥深くにある脆弱なサーバーへの足がかりを与える可能性がある
— tokyo_investment(@InvestmentTokyo)Sun Dec 12 08:12:56 +0000 2021
セキュリティセンターにある次のタイトルのアラートは、ネットワーク上の脅威アクティビティを示している可能性があります。
・Log4jの悪用の可能性
・疑わしいスクリプトが起動されました(エクスプロイト後の疑わしいコマンドの起動を含む、複数の動作を検出します)
— 二本松哲也(@t_nihonmatsu)Sun Dec 12 08:25:54 +0000 2021
@CradleCat007 動画見ました!ヤバいですよね!log4j-coreの2.15以上へのバージョンアップあるいはlog4j2.formatMsgNoLookups = trueなど幾つか対策がありますが、既に悪用されているなら別途対策が必要で…。影響が大きいですね。
— 齊藤貴義@『Wizard Bible事件から考えるサイバーセキュリティ』(@miraihack)Sun Dec 12 11:44:46 +0000 2021
悪いのはlog4jじゃなくて悪用する人だって言わなくても分かるはずだし、あんまり叩いてメンテ中止になったら本当の地獄が始まる
— issei*fam(@it__ssei)Sun Dec 12 13:10:56 +0000 2021
log4jのやつとてもめんどくさいけど、責めるべきはそれを悪用して攻撃する者だってばっちゃが言ってた
— 水月(みなつき)(@minatsuki2525)Mon Dec 13 01:05:03 +0000 2021
Log4jの件、悪用してくださいって言ってるような機能なんだけど有用な使い方あるのかこれ?
— おんせんたまご(@InselGlocke)Mon Dec 13 09:48:33 +0000 2021
Log4j、中から外向けの通信をファイヤーウォールで制限しとけば大体の悪用は防げる感。
— ...ho..ho..ho(@dio_summer)Mon Dec 13 12:08:30 +0000 2021
ソフォスの上級脅威研究者、Sean Gallagher によると、Log4j は既に悪用されています。攻撃者は、コインマイナーをインストールし、AWSキーを取得し、被害者の環境にCobalt Strike (攻撃ツール)を含む、リモートアクセスツールをインストールしています。
— エド:まかせて(@edworth)Tue Dec 14 01:28:04 +0000 2021
Check Point は12月10日(金)~12日(日)までに、顧客に対する40万件の侵入をブロックしていると主張しています。
— エド:まかせて(@edworth)Tue Dec 14 01:28:05 +0000 2021
@tn_7mi @tdmn_03 log4jの悪用コード公開するだけでも違法なのでDDoSが合法な訳がない
— PerfectBoat(@PerfectBoatJP)Tue Dec 14 03:19:30 +0000 2021
@PerfectBoatJP @tdmn_03 そうそう
— ちのななみ(@tn_7mi)Tue Dec 14 03:20:48 +0000 2021
log4jを悪用するツールがバージョンアップしたから早く対応しろよ、というツイット……ですかね
— にゃんかずฅ^•ω•^ฅ🐾(@kaz_nya_)Tue Dec 14 03:44:24 +0000 2021
Apache Log4j の脆弱性を悪用した攻撃が、国内でも確認されたとIPAから発表がありましたね・・・
— かちょー@エンジニア(@news_byBP)Tue Dec 14 05:47:32 +0000 2021
Log4jの話追っていくとまじで爆笑ものの話がいくつもでてきておもしろい
(1) 悪用しようとしている人が脆弱性が放置されているサイトを調べる時にもこの脆弱性を利用している
(2) この脆弱性を利用して外部から注入するワクチンが開発されている
— ⓤⓢⓨⓐ🦅(@usya)Tue Dec 14 07:45:38 +0000 2021
既にlog4j悪用するランサムウェアが出てるらしいから、マイクラ遊んでる人は気をつけてな
— 壱厘(@love_bookandE)Tue Dec 14 10:56:40 +0000 2021
セキュリティ担当は眠れない夜を過ごした世界的なLog4jの脆弱性問題
カテゴリとしてはJNDIインジェクション
Log4jのJNDI lookup機能を悪用して、LDAPサーバーに誘導、Log4jがURLからclassファイルを勝手にロードする
ハッカーも良くこんなの思い付くよな
— くまでふ@最近筋トレしてない社畜(@kumadefu_777)Tue Dec 14 11:29:09 +0000 2021
IT部門にいるのがエンジニアとも限らんしねぇ。すでにlog4jを悪用したランサムウェアも出回ってる以上、最低でもクライアントPCに入ってるアプリケーションにも対策が必要なことは明記すべきなんだよね。
優先順位としてはWebが最優先だけど、PCも警戒しないと日粉の二の舞になる。
— 駆け出しちんちん改九拾八式(@macoairhead)Tue Dec 14 11:34:54 +0000 2021
log4jの開発者を叩いたり、Javaを叩いたり、実際に悪用して攻撃している人を叩けないから、叩きやすい人を叩いてやった気になっているだけになってないかなと感じる
— Jinu(@jlandowner_dev)Tue Dec 14 14:26:15 +0000 2021
エンジニアもハッキングの糸口にされるとわかってても古いスマホ使ってるやつが怒りだすからって圧力で永遠に古いOSをサポートし続けたアプリが、ついにその古いプログラムが悪用されたから大変なことになってる!ってのがJavaのlog4jのイメージでだいたい合ってる?
— のーさい(@nsi_7)Tue Dec 14 14:54:39 +0000 2021
「log4j の仕様通りで且つ意図通りの挙動」だから、前々から悪用してる人いそうなんだよなアレ...
— 音川 勝俊(@k_otogawa)Tue Dec 14 16:19:52 +0000 2021
Log4jの件、色々詳細な検証動画や情報を上げている人は純粋な注意喚起からなんだろうけど、一般人は全く理解出来ないし(そもそも興味がない)、得してるのは悪用したいと思ってるけど自分ではプログラム思い付かない者じゃないかと考えていて、やはりセキリュティの情報共有は難しいと再認識してる。
— IT等に興味のある公務員(@IT52734664)Tue Dec 14 22:21:53 +0000 2021
そういやこの週末にネット彷徨ってたら急に広告ウインドウからjavaなんちゃら.exeがダウンロード開始されてビビり散らかしたがアレもしやlog4jの悪用の奴だったか?
当然アンチウイルスに処されたが
— 🍣💉💉(@ms06taku)Tue Dec 14 23:12:27 +0000 2021
@ms06taku アタックログ探すときに対象ファイルを21121*で探せば良いから、このゼロデイ攻撃者は良い人だよな
— Takashita(@Takashita)Wed Dec 15 03:10:25 +0000 2021
19時から作業確定したのでリリイベ行けない、しばらくCD取りに行けないのは確実となりました。log4jの脆弱性を悪用するやつ絶対許せねぇ。
— FOREST P(@forest_third)Wed Dec 15 03:17:04 +0000 2021
Apache Log4jの問題今更ながらきちんと調べました。
「Log4jには、ログに記載された文字列から一部の値を変数として評価するLookup機能が実装されていて、その内JNDI Lookup機能を悪用することにより任意のJavaクラスをロード実行させる」
この機能どういう場合に使うかが想像がつかん…
— パパス@マザーズ死す🪦🪦(@Nijinopapasan1)Wed Dec 15 12:10:00 +0000 2021
でもよく考えたら、外部からApacheのlog4jに不正コードを送られて悪用されるってことは、イントラの社内システムや、FWでIP制限かけてるクラウドは大丈夫なんじゃないのかな…
実際のところどういうシステムが危ないんだろうか、、
— lowlow(@SugarLow_k)Wed Dec 15 23:48:31 +0000 2021
Log4Shell は、Log4j 2 のバグではないが、脆弱性(安全上の欠陥)があり、開発者が予期しなかった方法で悪用された結果、という理解をしている。
— m9(@m9_O_o)Thu Dec 16 00:41:01 +0000 2021
いつメンで草
米Microsoftは12月14日(現地時間)、世界的に問題になっている「Apache Log4j」の脆弱性が、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認したと発表した。
— 賢狼タマキ@all甲(@tamatyan1919)Thu Dec 16 01:11:28 +0000 2021