CVE-2021-45046, CVE-2021-44228 Detection: Vulnerabilities in Log4j Java Library

SOCチームにまた頭痛の種 — 最も注目のLog4j脆弱性CVE-2021-45046に注意！サイバーセキュリティの世界は、Apache Log4j Javaロギングライブラリに影響を与える重要なゼロデイ脆弱性CVE-2021-44228に対するエクスプロイトの試みが増加していることで揺れています。新たに追跡されている高深刻度のLog4j RCEの欠陥CVE-2021-45046が登場します。 

CVE-2021-45046 概要

最新のCVE-2021-45046の脆弱性は、Log4jバージョン2.16.0が12月14日にリリースされた翌日に発見され、CVSSスコア3.7を受けました。その後、非常に高いリスクが評価されたため、クリティカルなセキュリティ影響評価とされ、スコアは劇的に9.0に引き上げられました。 Apache Software Foundationの通知, 新たに発見された脆弱性は、2.0-beta9から2.15.0までのすべてのLog4jバージョン（2.12.2を除く）に影響を与えます。

Log4Shell (СVE-2021-44228) 概要

最初に発見された別の悪名高いゼロデイ脆弱性 Log4j として知られる Log4Shell or LogJam, は、認証されていないリモートコード実行の問題で、システム全体の妥協を可能にします。この欠陥は非常に簡単に悪用でき、オンラインで複数のPoCが広まっているため、攻撃者にとっては取るに足らない問題となります。その結果、ハッカーはリモートコード実行攻撃を実行して、影響を受けたサーバーを完全に制御できます。 

CVE-2021-44228の分析によると、Log4j 2.0-beta9から2.14.1までを実行しているすべてのシステムが脆弱です。また、セキュリティ問題がApache Struts2、Apache Solr、Apache Druid、Apache FlinkなどのほとんどのApacheフレームワークのデフォルト設定に影響を与えるため、企業や個人ユーザーによって使用される広範なソフトウェアとウェブアプリが攻撃にさらされています。 

Alibaba Cloudのセキュリティチームが最初に脆弱性を発見し、2021年11月下旬にApacheに報告しました。特に、最初に非常に人気のあるゲームのJavaバージョンを実行しているクライアント上で悪意のあるコードを実行しようとする敵がいるMinecraft関連のサーバー上で特定されました。Log4jで問題の原因が特定されると、エクスプロイトコードのサンプルが直ちにオンラインに現れ始めました。

現在、セキュリティの専門家は脆弱なシステムに対するインターネット全体のスキャンを報告しています。また、CERTニュージーランドが 警告 複数の野生化されたエクスプロイトについて。

CVE-2021-44228: Log4j RCE 検出

脆弱なバージョンのLog4jを利用しているすべてのユーザーは、 できるだけ早くログ4j-2.15.0-rc1に アップグレードする必要があります. さらに、組織はCVE-2021-44228に関連する悪意のある活動を監視し、妥協の証拠を示す異常を探すことが推奨されます。タイムリーな攻撃検出を強化するために、SOC Primeチームは専用のSigmaルールのバッチを作成しました。セキュリティ専門家は、SOC Primeのコードとしての検出プラットフォームからルールをダウンロードできます：

Log4j RCE [CVE-2021-44228] エクスプロイト検出パターン（ウェブサーバー経由）

この検出には、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、Securonix、Open DistroのSIEM、EDR、XDRプラットフォームに対する翻訳があります。

このルールは、MITRE ATT&CK®フレームワークv.10と一致し、初期アクセス戦術でPublic-Facing Applicationを標的としたエクスプロイトをメインテクニック（T1190）として対応しています。

Log4j RCE [CVE-2021-44228] エクスプロイト検出パターン（プロキシ経由）

Log4j RCE [CVE-2021-44228] エクスプロイト検出パターン（キーワード経由）

組織が常に警戒を続けるのを支援するために、SOC Primeチームは最近、CVE-2021-44228の潜在的なエクスプロイト試行を検出する最新のSigmaベースのルールをリリースしました。このルールは、プロキシログに基づく可能性のあるLog4jエクスプロイトパターンを検出し、リバースbashシェルの作成につながる悪意のあるクラスファイルのダウンロードを特定します。

Javaの悪意のあるリモートクラスファイルの可能性のあるロード [Log4j/CVE-2021-44228] （プロキシ経由）

CVE-2021-45046 検出と緩和策

Java 8以降を活用するすべてのユーザーは、最新の Log4j 2.16.0バージョンに更新する必要があります以前のApache Log4j 2.15.0の緩和策が不完全であったためです。組織がCVE-2021-45046を検出し、エクスプロイト試行のリスクを最小限に抑えるのを支援するために、SOC Primeチームは最近、Log4jエクスプロイトパターンと利用可能なログファイル内のログエントリを識別する専用のSigmaベースのルールをリリースしました。

Log4j [CVE-2021-45046] エクスプロイト検出パターン（キーワード経由）

SOC Primeのコードとしての検出プラットフォームに無料でサインアップして、セキュリティ環境内の最新の脅威を検出し、ログソースとMITRE ATT&CKのカバレッジを向上させて、サイバーセキュリティのための組織のROIを高めましょう。セキュリティ専門家も独自の検出コンテンツをマネタイズするためにThreat Bounty Programに参加できます。

プラットフォームに移動 Threat Bountyに参加