「Log4Shell」の悪用、国内でも多数検知 - 国内で被害も
広く活用されているログ記録ライブラリ「Apache Log4j」に深刻な脆弱性「Log4Shell」が明らかとなった問題で、国内においても脆弱性を悪用した通信が多数観測されている。
問題の脆弱性「CVE-2021-44228」は、ログ処理に問題があり、リモートよりコードを実行されるおそれがある脆弱性。12月9日に公開され、12月10日には実証コード(PoC)が登場した。同ライブラリを組み込んだ製品、サービスなど多くの製品に影響が及んでいる。
国内においてSOCを運用するラックでは、脅威インテリジェンスで12月10日に脆弱性の悪用を確認したことを受け、実証コードの調査を終えた11日深夜にオリジナルの定義ファイルをリリースした。以降多数の攻撃通信を検出している。
特定のドメインやIPアドレスへ通信するよう求めるもので、「LDAP」「DNS」「RMI」といったプロトコルが指定されていた。1時間あたり5千件前後から多いときには3万件弱の通信を検知している。
あくまでアナリストによる感触であると前置きした上で、これまで観測された通信の内容は、調査と見られるものが4割から5割、のこる5割から6割は脆弱性を悪用して実際に攻撃を展開するものだという。

SOCにおける攻撃の検知状況(グラフ:ラック)
(Security NEXT - 2021/12/14 )
ツイート
PR
関連記事
「Apache Struts」にサービス拒否の脆弱性 - 修正版が公開
米当局、脆弱性の悪用について警戒呼びかけ - 1週間で13件
トレンドの法人向けセキュリティ製品に脆弱性 - すでに悪用済み
QNAP製NASに複数の脆弱性 - 修正版以降へ更新を
「ZCS」に2件の脆弱性 - セキュリティアップデートが公開
ネットワーク監視ツール「LibreNMS」に脆弱性 - 「クリティカル」も
「Splunk Enterprise」に複数の脆弱性 - アップデートで修正
Palo Alto Networksの「PAN-OS」や「Cortex XDR」に脆弱性
「Craft CMS」に脆弱性、攻撃容易で影響大 - 7月の更新で修正済み
Array Networks製VPN機器、標的型攻撃の対象に - 侵害状況の確認を