Talos 読者の皆様、こんにちは。
Log4j 関連の情報をお望みの方ばかりでしょうから、早速本題に入りましょう。最新の Talos の調査については、こちらのブログ記事をご覧ください。上の動画は、月曜日の午前中に最新状況をお伝えしたライブ配信の録画です。ただ当然ですが、すでにいろいろと状況が変わっているため、米国東部時間の金曜日正午
に『Beers with Talos』でもう一度ライブレコーディングを行います。レコーディングの内容は、シスコのソーシャル メディア プラットフォームまたは YouTube ページでご視聴いただけます。
年末年始の休暇に入るため、2021 年の脅威情報ニュースレターは今回が最後となります。読者の皆様も、せめて数日くらいは Log4j のことを忘れ、ご友人やご家族と充実した時間をお過ごしになれますように。
1 週間のサイバーセキュリティ概況
- 今週全国的なニュースとなった Log4j の脆弱性に世界中が騒然。比較的エクスプロイトしやすいため危険性が非常に高く、さまざまなソフトウェアに影響が及びます。
- 国家の支援を受けた攻撃者も、すぐさまこの脆弱性に注目。Microsoft 社は、中国、イラン、北朝鮮、トルコを拠点とする攻撃者が Log4j のバグのテストとエクスプロイトを開始しただけでなく、マルウェアを展開するためにすでに利用していると警告を発しました。
- 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)、12 月 24 日までに同脆弱性(Log4shell)にパッチを適用するよう連邦政府機関に通達。脆弱性について CISA 長官のジェン・イースタリー氏は「深刻なリスク」だと述べています。
- オンライン上ではセキュリティ研究者が Apple 社のデバイスや Tesla 社の電気自動車で Log4shell をエクスプロイトできたと主張。いずれも、デバイスの名前を変更するだけで標的のサーバーを任意のサイトにアクセスさせることができるとのことです。
- 火曜日に Microsoft 社がセキュリティ更新プログラム(月例)を公開。Log4j の陰に隠れて目立ちませんが、同社の製品の緊急の脆弱性が 6 件公開されていますのでご注意ください。そのうちの 1 件の重大度スコアは 10 点中6 点です。
- Google もパッチを公開し、Chrome Web ブラウザの 5 件の脆弱性を修正。このうちの 1 件(CVE-2021-4102)については、すでにエクスプロイトが確認されていると Google は警告しています。
- Microsoft 社から始まった一連のパッチ公開の流れに Apple 社も追随。iOS のモバイル オペレーティング システムを更新し、新型 iPhone 13 を簡単にジェイルブレイクできる脆弱性を修正しました。他にも、攻撃対象となったデバイスでリモートコードが実行される危険性がある脆弱性を修正するためのパッチがいくつか公開されています。
- ブロックチェーン ゲームプラットフォーム VulcanForged が攻撃を受け、1 億 3,500 万ドル相当の仮想通貨が不正流出。今月この種の攻撃が発生するのはこれで 3 回目で、被害総額は 4 億ドルに上りました。
- 自動車メーカー Volvo、サイバー攻撃を受け「限られた量」の研究開発情報が盗まれたと報告。最初の侵入経路については、引き続き同社による調査が行われています。
最近の注目すべきセキュリティ問題
Log4j の脆弱性、長期にわたってインターネットに広く影響を及ぼす可能性あり
セキュリティコミュニティ全体で、CVE-2021-44228(積極的にエクスプロイトが仕掛けられている Apache Log4j の脆弱性)への対処が進められています。広範に使用されている Java ロギングライブラリに影響を与える脆弱性であり、多くの大規模な組織の環境にはこのライブラリが導入されている可能性があります。これまでのところ、主な標的となっているのは Apple 社や人気ビデオゲーム「Minecraft」などです。問題のライブラリは、Elastic をはじめとするエンタープライズ環境で使用されるさまざまな Web アプリケーションの依存関係としても使用されている可能性があります。脆弱性の性質からみて、攻撃者の間で今後広くエクスプロイトされていくものと Cisco Talos は考えています。影響を受ける製品を使用している場合は、できる限り早くパッチを適用して脆弱性を軽減してください。Apache は Log4j の最新バージョン 2.16.0 をリリースしました。以前のリリース(2.15.0)では、ルックアップを解決する機能を削除して問題に対処し、脆弱性 CVE-2021-44228 を軽減していました。今回のリリースでは、デフォルトで JNDI が無効になり、メッセージの検索がサポートされなくなっています。詳細については、軽減策に関するセクションを参照してください。
SNORTⓇ SID:58722 ~ 58744、58751、58784 ~ 58790、58795
Snort 3 SID:300055 ~ 300058
ClamAV 署名:Java.Exploit.CVE_2021_44228-9914600-1、Java.Exploit.CVE_2021_44228-9914601-1、Java.Exploit.CVE_2021_44228-9914600-2、Java.Exploit.CVE_2021_44228-9914601-4、Java.Exploit.CVE_2021_44228-9915330-0、Java.Malware.CVE_2021_44228-9915820-0、Java.Malware.CVE_2021_44228-9915819-0、Java.Malware.CVE_2021_44228-9915818-0、Java.Malware.CVE_2021_44228-9915817-0、Java.Malware.CVE_2021_44228-9915816-0、Java.Malware.CVE_2021_44228-9915813-0、Java.Malware.CVE_2021_44228-9915812-0
Microsoft 社、12 月のセキュリティ更新プログラム(月例)で 80 件の脆弱性のパッチを公開
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のハードウェアおよびソフトウェアの大規模なコレクションで確認された 80 件の脆弱性についての情報を公開しました。今月公開された脆弱性には、実際にエクスプロイトされているものはありません。これは数ヵ月ぶりのことです。なお、4 件は公開済みの脆弱性でした。12 月のセキュリティ更新プログラムで「緊急」と評価された脆弱性は 5 件で、残りは「重要」と評価されています。最も重大な問題は CVE-2021-43215 です。これはメモリ破損の脆弱性で、iSNS サーバーでリモートコードが実行される危険性があります。iSNS プロトコルは iSNS サーバーおよび iSNS クライアントと相互に通信し、ネットワークユーザーが iSNS データベースを照会できるようにするサーバーを管理します。iSNS サーバーに細工されたリクエストを送信して、攻撃者がこの脆弱性をエクスプロイトする可能性があります。この脆弱性の重大度スコアは 10 点中 9.8 点です。
SNORTⓇ SID:58752 ~ 58757、58635、58636
今週最も多く見られたマルウェアファイル
SHA 256:0ab024b0da0436fddc99679a74a26fdcd9851eb00e88ff2998f001ccd0c9016f
MD5:ee30d6928c9de84049aa055417cc767e
一般的なファイル名:app.exe
偽装名:なし
検出名:Glupteba::gravity::W32.Auto:0ab024b0da.in03.Talos
SHA 256:5bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13
MD5: a6a7eb61172f8d988e47322ebf27bf6d
一般的なファイル名:wx.exe
偽装名:なし
検出名:Win.Dropper.Wingo::in07.talos
SHA 256:1b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37
MD5:a5e345518e6817f72c9b409915741689
一般的なファイル名:swupdater.exe
偽装名:Wavesor SWUpdater
検出名:W32.1B259D8CA9.Wavesor.SSO.Talos
SHA 256:e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762
MD5: 6ea750c9d69b7db6532d90ac0960e212
VirusTotal:
一般的なファイル名:deps.zip
偽装名:なし
検出名:Auto.E5044D5AC2.242358.in07.Talos
SHA 256: 1487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6
MD5:ee62e8f42ed70e717b2571c372e9de9a
一般的なファイル名:lHe
偽装名:なし
検出名:W32.Gen:MinerDM.24ls.1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 12 月 10 日に Talos Group
Authors