脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由

さらに「もっとも重大な脆弱性」と評したことについては、「Log4Shell」が過去10年間に公開された「Heartbleed」「Shellshock」と比較されることも多いが、概念実証が利用可能で悪用も容易であることを踏まえると、より深刻だとしている。

ライブラリを組み込んだ製品、サービス、デバイスは多数ある一方で、一元的にアップデートする方法がなく、アップデートが行きわたるまでに時間がかかることも同氏は問題視した。

「ライブラリを使用するIoT機器などへ及ぼす攻撃の影響は、まだあまり把握されていない」とし、「セキュリティアップデートを受けられない場合があることにくわえ、
セキュリティアップデートを適用するのはさらに難しい」と悲観的だ。

「正直なところ、この脆弱性の影響を完全に把握できるのはかなり先のことになる」と同氏は語り、問題を解決する特効薬となる製品も存在せず、「Log4Shell」によってもたらされる脅威を排除するには、防御策の回避など時間とともに変化する脅威を見極めていく必要があると述べた。

一方、すべてのケースをカバーできるわけではないと前置きしつつも、容易に攻撃を達成できる標的を狙う攻撃者にとって、「ウェブアプリケーションファイアウォール（WAF）」や「IPS（不正侵入防止システム）」の活用は、組織を防御する際に非常に有効であるとの見方も同時に示している。

（Security NEXT - 2021/12/22 ） ツイート

PR

関連記事

Arista「CloudVision」に管理者権限を取得される脆弱性
「FortiOS」の認証回避脆弱性、攻撃継続中 - 国内でも被害
米当局、悪用が確認された既知脆弱性2件について注意喚起
「Active! mail」脆弱性の侵害確認方法、引き続き調査
「Apache Tomcat」に複数脆弱性 - 4月上旬のアプデで修正済み
大規模言語モデル推論エンジン「vLLM」に深刻な脆弱性
GitLabに3件の脆弱性 - セキュリティアップデートをリリース
F5、四半期定例アドバイザリで脆弱性12件に対処
GeoVision製EOL機器に対する脆弱性攻撃が発生 - 米当局が注意喚起
RadwareのクラウドWAFに脆弱性 - フィルタ回避のおそれ