脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由

さらに「もっとも重大な脆弱性」と評したことについては、「Log4Shell」が過去10年間に公開された「Heartbleed」「Shellshock」と比較されることも多いが、概念実証が利用可能で悪用も容易であることを踏まえると、より深刻だとしている。

ライブラリを組み込んだ製品、サービス、デバイスは多数ある一方で、一元的にアップデートする方法がなく、アップデートが行きわたるまでに時間がかかることも同氏は問題視した。

「ライブラリを使用するIoT機器などへ及ぼす攻撃の影響は、まだあまり把握されていない」とし、「セキュリティアップデートを受けられない場合があることにくわえ、
セキュリティアップデートを適用するのはさらに難しい」と悲観的だ。

「正直なところ、この脆弱性の影響を完全に把握できるのはかなり先のことになる」と同氏は語り、問題を解決する特効薬となる製品も存在せず、「Log4Shell」によってもたらされる脅威を排除するには、防御策の回避など時間とともに変化する脅威を見極めていく必要があると述べた。

一方、すべてのケースをカバーできるわけではないと前置きしつつも、容易に攻撃を達成できる標的を狙う攻撃者にとって、「ウェブアプリケーションファイアウォール（WAF）」や「IPS（不正侵入防止システム）」の活用は、組織を防御する際に非常に有効であるとの見方も同時に示している。

（Security NEXT - 2021/12/22 ） ツイート

PR

関連記事

ルータOS「OpenWrt」に脆弱性 - 修正版がリリース
「Karmada Dashboard」に深刻な脆弱性 - 修正版が公開
「Apache Tomcat」に複数脆弱性 - 10月のアップデートで修正済み
MS、「Windows Server」向けに定例外パッチ - 米当局が悪用確認
Dellストレージ管理製品に認証回避の脆弱性 - アップデートで修正
前月の更新で「Bamboo」「Jira」など脆弱性14件を修正 - Atlassian
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
アイ・オー製NAS管理アプリに権限昇格の脆弱性
コンテナ保護基盤「NeuVector」に複数脆弱性 - 「クリティカル」も
GitLab、アップデートを公開 - 脆弱性7件を解消