悪用続く「Log4Shell」脆弱性、「VMware Horizon」への攻撃を確認–CISA

今回は「悪用続く「Log4Shell」脆弱性、「VMware Horizon」への攻撃を確認–CISA」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Javaのログ出力ライブラリー「Apache Log4j」に存在する「Log4Shell」という脆弱性は、何カ月も前にパッチが公開されているため、対処されていて当然ともいうべきものだ。しかし、そうしたパッチが適用されていないシステムも依然として残されており、そのようなシステムは、企業ネットワークにアクセスしようとするハッカーらによって悪用され続けている。

 米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)と沿岸警備隊サイバー部隊(Coast Guard Cyber Command:CGCYBER)は米国時間6月23日、脆弱性を抱えたLog4jのバージョンを実行しているVMwareの「VMware Horizon」と「VMware Unified Access Gateway(UAG)」サーバーの管理者に対し、パッチの適用を勧告する共同セキュリティアドバイザリー(AA22-174A)を発出した。VMwareのUAGは、従業員が遠隔地からHorizonの仮想デスクトップとそのアプリにセキュアなかたちでアクセスできるようにする製品だ。

 これらVMware製品はいずれも、Log4Shell脆弱性(CVE-2021-44228)を抱えていた。この脆弱性は、2021年12月にApache Software Foundation(ASF)のLog4jの保守担当者によって公表されたものだ。そしてVMwareは、同月から2022年1月にかけて同社製品向けのパッチをリリースしている。

 この脆弱性の名前にShell(シェル)という単語が含まれている理由は、同脆弱性を悪用することで攻撃者は、Log4jを利用しており、インターネット上に公開されているデバイスを遠隔地から制御するシェルを入手できるためだ。

 同アドバイザリーには、「影響を受けるシステムを有しているものの、利用可能なパッチや回避策をすぐに適用しなかった組織は、侵入されているという前提の下、脅威の追跡活動を開始するようCISAとCGCYBERは推奨する」と記されている。

 CISAとCGCYBERによると、攻撃者はこの脆弱性を悪用して、標的の災害復旧用ネットワークにアクセスし、水平移動に必要となる管理者認証などの情報を盗み出していたという。

 また両機関は同アドバイザリーで「2021年12月以降、複数の脅威アクターが、インターネット上に公開され、パッチが適用されていないVMware HorizonとUAGサーバーに対して、Log4Shell脆弱性を悪用してきている」と警告している。

 両機関は「この攻撃の一環として、持続的標的型(APT)攻撃を遂行していると考えられる脅威アクターは、侵入したシステムに対して、遠隔地からコマンドを投入して処理を実行できるC&C機能を搭載した実行ファイルを埋め込んだローダーマルウェアを送り込んでいた。あるケースでは、こういったAPTアクターはネットワーク内を水平移動し、災害復旧用ネットワークへのアクセス権を得て、機密データを収集、流出させていた」と記している。

 オープンソースのコンポーネントであるLog4jはASFによってメンテナンスされており、VMwareやCisco Systems、IBM、Oracleといった多くのベンダーのソフトウェアやデバイスで幅広く用いられている。

 Log4Shellは、その影響を受けるエンドユーザー組織やデバイスメーカー、サービスが広範に及んでいるため、パッチの適用が難しいと考えられていた。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
データをファンエンゲージとチーム強化に活用–ブンデスリーガがAWSを選んだ理由
IT関連
2021-08-17 20:20
フェイスブックが「Population: One」のゲームスタジオ「BigBox VR」を買収
VR / AR / MR
2021-06-13 10:08
百度、AI/IoTを活用した野良猫の越冬対策を公益事業に
IT関連
2022-11-29 02:38
武田大臣、KDDIの新料金プランは「非常に紛らわしい」 「条件をハッキリせず『一番安い』とするのは残念」
-
2021-01-17 01:40
無料版「Google Meet」の最大通話時間、3人以上は60分までに戻る
アプリ・Web
2021-07-14 13:27
キリンHDが「COMPANY」シリーズを採用–人材育成や最適配置の質的向上
IT関連
2022-06-09 18:28
米債務危機の悪夢再び?–夏秋の「株安アノマリー」は投資の好機か
IT関連
2021-07-30 11:53
政府が「ワクチン接種状況ダッシュボード」公開 性別や都道府県別に可視化
社会とIT
2021-05-28 22:35
ワインのレコメンドとマーケットプレイスアプリ「Vivino」が約164億円調達
ネットサービス
2021-02-16 07:58
ワクチン接種券の読み取りトラブル多発 政府、撮影用スタンドを自治体に配布へ
クラウドユーザー
2021-05-13 21:13
商品バーコードをスマホで読み取り、支払いは無人レジで イオンの「レジゴー」使って分かった魅力と課題 (1/2 ページ)
くわしく
2021-06-12 15:38
AIは開発者とビジネスユーザーのコラボレーションを加速する
IT関連
2024-02-15 13:46
電動自転車やカーシェアリング車両などの交通データで都市のデジタル変革を支援するPopulusが約5.5億円調達
モビリティ
2021-03-13 23:14
常石造船、設計工程のデジタル化を推進–設計業務で年1万3000時間の削減を目指す
IT関連
2021-06-10 20:57