「近年最大のコンピュータ脆弱性」を中国人プログラマーが発見！

(Observer Network News) 12 月 11 日の AP 通信の報道によると、中国の Alibaba Cloud セキュリティ チームは、Web サーバー ソフトウェア Apache のオープンソース ログ コンポーネント Log4j の Log4Shell に脆弱性を発見しました。この脆弱性の存在により、ネットワーク攻撃者はパスワードなしでネットワーク サーバーにアクセスできます。

ネットワーク セキュリティの専門家は、この脆弱性は潜在的に非常に有害であり、「コンピュータ史上最大の脆弱性」になる可能性があると考えています。 Apple、Samsung、Steam などのクラウド サービスが影響を受ける可能性があります。 Apache Software Foundation は、この脆弱性の重大度を最高と評価しています。

Alibaba Cloud チームが 12 月 10 日に発行した最新の警告

このインシデントは先月 24 日に始まりました。Alibaba Cloud チームのメンバー中国で Apache に報告され、脆弱性が明らかになりました。その後、オーストリアとニュージーランドの公式コンピューター緊急チームが率先してこの脆弱性を警告しました。

ニュージーランドは、この脆弱性は「積極的に悪用され」ており、概念実証コードが公開されたと述べた。

今回発覚した脆弱性は、さまざまなアプリケーションやネットワークサービスで広く利用されているJavaロギングフレームワークのLog4jに存在し、実行行為の過程を保存して発生を容易にするプログラム内記録ツールです。問題がないか確認してください。ほぼすべてのネットワーク セキュリティ システムは、記録のために何らかのログ フレームワークを使用しており、これにより Log4j は広く影響力を及ぼします。

サイバーセキュリティ管理会社Cloudflareの最高セキュリティ責任者であるジョー・サリバン氏は、Log4jソフトウェアが広く使用されていることを考慮すると、この欠陥により悪意のある攻撃者が「リモートでコードを実行」して他のシステムにアクセスできるようになる、と述べた。これまでで「最大の脆弱性」。

今月10日、警戒はさらに拡大した。マイクロソフトのゲーム「マインクラフト」は同日、同ゲームのＪａｖａ版には攻撃に対する脆弱性があるとの発表を発表し、ユーザーに対しセキュリティ問題を解決するための早急な措置を講じるよう勧告した。プレイヤーは、ゲームのチャット ボックスにメッセージを貼り付けることで、他のプレイヤーのコンピュータでプログラムを実行できます。

同日、サリバン氏は、同社では「過去 6 ～ 10 時間で」この脆弱性を利用する悪意のあるユーザーが急増していることを確認したと述べた。

データ セキュリティ プラットフォームである LunaSec の研究者は、Apple のクラウド サービスだけでなく Steam も影響を受けている証拠を発見しました。また、Palo Alto Network は、Twitter と Amazon も攻撃を受けているとブログ投稿で指摘しました。

専門家は、この脆弱性による潜在的な害について厳しく警告しました。

ネットワークセキュリティ企業クラウドストライクの上級副社長アダム・マイヤーズ氏は、米国時間10日朝、ハッカーらが脆弱性を「完全に武器化し」、脆弱性を悪用するツールを開発して外部に配布したと述べた。同氏は、「インターネットは今、燃えている」と述べ、犯罪者やハッカーがこの脆弱性を悪用しようと先を争う一方、主要機関のネットワークセキュリティ担当者はパッチを適用するのに時間との競争をしていると述べた。

別のサイバーセキュリティ企業である Tenable の CEO、アミット ヨラン氏は、Log4Shell を「過去 10 年間で最大かつ最も重大な単一の脆弱性」と呼び、さらには「現代のコンピュータ史上で最も重大な脆弱性」になる可能性があると述べています。世界で。"

AP通信は、この脆弱性は近年発見されたコンピュータの脆弱性の中で最も深刻である可能性があるとコメントした。 Log4j は、業界や政府全体で使用されるクラウド サーバーやエンタープライズ ソフトウェアで「ユビキタス」です。この脆弱性が修正されない限り、犯罪者、スパイ、さらには初心者のプログラマーさえもこの脆弱性を利用して内部ネットワークに侵入し、情報を盗んだり、マルウェアを仕込んだり、重要な情報を削除したりする可能性があります。

Apache Software Foundation は、この脆弱性を 10 段階中最も高い重大度レベルとしてランク付けしました。

海外のソーシャル メディア ユーザーは、絵文字の形で Log4j の重要性を説明しました。

現在、大手企業がこの脆弱性の修正に着手しています。世界最大のネットワーク セキュリティ会社である McAfee によると、最も重要かつ完全な緩和方法は、log4j を安定バージョン 2.15.0 に更新することです。

マカフィーは将来的に、(DNS) などの追加サービスを使用して、この脆弱性に対する変更をテストすることも計画しています。結果に応じてこのドキュメントを更新する場合があります。一方、McAfee Enterprise は、攻撃者の脆弱性悪用の試みを検出する NSP (Network Security Platform) を利用する顧客向けにネットワーク シグネチャ KB95088 をリリースしました。

12 月 10 日、Alibaba Cloud セキュリティ チームは、Apache Log4j 2.15.0-rc1 バージョンに脆弱性バイパスが見つかったという発表を行いました。タイムリーなやり方。