脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由

さらに「もっとも重大な脆弱性」と評したことについては、「Log4Shell」が過去10年間に公開された「Heartbleed」「Shellshock」と比較されることも多いが、概念実証が利用可能で悪用も容易であることを踏まえると、より深刻だとしている。

ライブラリを組み込んだ製品、サービス、デバイスは多数ある一方で、一元的にアップデートする方法がなく、アップデートが行きわたるまでに時間がかかることも同氏は問題視した。

「ライブラリを使用するIoT機器などへ及ぼす攻撃の影響は、まだあまり把握されていない」とし、「セキュリティアップデートを受けられない場合があることにくわえ、
セキュリティアップデートを適用するのはさらに難しい」と悲観的だ。

「正直なところ、この脆弱性の影響を完全に把握できるのはかなり先のことになる」と同氏は語り、問題を解決する特効薬となる製品も存在せず、「Log4Shell」によってもたらされる脅威を排除するには、防御策の回避など時間とともに変化する脅威を見極めていく必要があると述べた。

一方、すべてのケースをカバーできるわけではないと前置きしつつも、容易に攻撃を達成できる標的を狙う攻撃者にとって、「ウェブアプリケーションファイアウォール（WAF）」や「IPS（不正侵入防止システム）」の活用は、組織を防御する際に非常に有効であるとの見方も同時に示している。

（Security NEXT - 2021/12/22 ） ツイート

PR

関連記事

「Chrome」にアップデート - 「クリティカル」の脆弱性などを解消
NETGEARの一部ルータに認証バイパスの脆弱性 - 早急に更新を
「Docker」で「IPv6」の無効化が反映されない脆弱性 - アップデートで修正
「PAN-OS」更新後の再起動前に調査用ファイル取得を
分散型グラフデータベース「Apache HugeGraph」に深刻な脆弱性
iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み
WP向け操作ログ記録プラグインにSQLi脆弱性 - パッチ未提供
「Node.js」向けMySQLクライアントにRCE脆弱性
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を
Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み