Steam、Apple iCloud、Minecraftがゼロデイ脆弱性にさらされる

いくつかの人気サービス、Apple iCloud、Steam、Amazon、Twitter、Cloudflare、Minecraftを含むが、Apache Software Foundationによって開発された広く使用されているJavaロギングシステム「log4j2」に発見された「普遍的な」ゼロデイ脆弱性にさらされています。

この脆弱性は、LunaSecのサイバーセキュリティ研究者によって「Log4Shell」と名付けられ、AlibabaのChen Zhaojunに帰属されており、特定の文字列をログに記録することによってリモートコード実行（RCE）を引き起こし、攻撃者がコンピュータシステムに対して制御されていないアクセスを得て、マルウェアをインポートし、数百万のデバイスを完全に危険にさらすことを可能にします。

この0-dayは12月9日にツイートされ、GitHubに投稿された概念実証（POC）と共に公開されました。

研究者によると、このライブラリがどれほど普遍的であるか、脆弱性の影響（サーバーの完全な制御）、および脆弱性を悪用するのがどれほど簡単であるかを考慮すると、この脆弱性（CVE-2021-44228）の影響は「非常に深刻」です。

LunaSecの研究者は、Apache Strutsを使用している人は誰でも脆弱である可能性が高いと述べ、2017年のEquifax侵害のような攻撃で以前に悪用された類似の脆弱性があったと付け加えました。Appleのサーバーの脆弱性は、iPhoneの名前を変更するだけでトリガーされる可能性があります。

この問題は、バージョン2.0-beta-9とバージョン2.14.1の間のすべてのバージョンに影響を与えます。ただし、LunaSecは、6u211、7u201、8u191、11.0.1より大きいJavaバージョンはこの脆弱性の影響を受けないと指摘しました。

この脆弱性は、バージョン2.0-beta-9とバージョン2.14.1の間のすべてのバージョンに影響を与えます。MinecraftサーバーやPaperなどの多くのオープンソースプロジェクトは、すでに「log4j2」の使用をパッチ適用し始めています。影響を受けた組織からの広範な対応リストがここに掲載されています。

Apache Software Foundationは、最新のライブラリバージョン2.15.0でゼロデイ脆弱性をパッチ適用するための緊急セキュリティアップデートをリリースし、すぐに更新できない人のための緩和策も提供しています。

「ログメッセージまたはログメッセージパラメータを制御できる攻撃者は、メッセージルックアップ置換が有効な場合、LDAPサーバーから読み込まれた任意のコードを実行できます」とApache Foundationはアドバイザリーで述べています。「Log4j 2.15.0から、この動作はデフォルトで無効になりました。」

ソフトウェアでLog4jを使用している人は、すぐに最新の2.15バージョンにアップグレードすることを推奨します。