脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由
さらに「もっとも重大な脆弱性」と評したことについては、「Log4Shell」が過去10年間に公開された「Heartbleed」「Shellshock」と比較されることも多いが、概念実証が利用可能で悪用も容易であることを踏まえると、より深刻だとしている。
ライブラリを組み込んだ製品、サービス、デバイスは多数ある一方で、一元的にアップデートする方法がなく、アップデートが行きわたるまでに時間がかかることも同氏は問題視した。
「ライブラリを使用するIoT機器などへ及ぼす攻撃の影響は、まだあまり把握されていない」とし、「セキュリティアップデートを受けられない場合があることにくわえ、
セキュリティアップデートを適用するのはさらに難しい」と悲観的だ。
「正直なところ、この脆弱性の影響を完全に把握できるのはかなり先のことになる」と同氏は語り、問題を解決する特効薬となる製品も存在せず、「Log4Shell」によってもたらされる脅威を排除するには、防御策の回避など時間とともに変化する脅威を見極めていく必要があると述べた。
一方、すべてのケースをカバーできるわけではないと前置きしつつも、容易に攻撃を達成できる標的を狙う攻撃者にとって、「ウェブアプリケーションファイアウォール(WAF)」や「IPS(不正侵入防止システム)」の活用は、組織を防御する際に非常に有効であるとの見方も同時に示している。
(Security NEXT - 2021/12/22 )
ツイート
関連リンク
PR
関連記事
Cisco、セキュリティアドバイザリ14件を公開 - 一部製品はEOLで修正なし
米当局、「Zimbra」狙う攻撃に注意喚起 - メール「CC」に不正コード
「NVIDIA Triton Inference Server」に脆弱性 - アップデートを提供
SplunkのAWS向けのアドオンに複数脆弱性 - アップデートで修正
「Cisco NDFC」に深刻な脆弱性 - 管理下の機器でコマンド実行のおそれ
コラボツール「Zimbra」に深刻な脆弱性 - すでに実証コードも
Ivanti製エンドポイント管理製品の脆弱性、悪用が判明
「Chrome」にセキュリティアップデート - 4件の修正を実施
「Firefox 131」が公開 - 脆弱性13件を解消
「Flowise」のチャットボットライブラリに脆弱性 - アップデートを