Microsoftのセキュリティ研究者であるJonathan Bar Or氏は、「Apache Log4j」の脆弱性を悪用する攻撃を監視していた際に、SolarWindsの製品「Serv-U」に未知の脆弱性が見つかったことを明らかにした。
□Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始 - ZDNet Japan
https://japan.zdnet.com/article/35180746/
Or氏がTwitterで説明したところによれば、Log4jの脆弱性を悪用する攻撃を探す作業を行っていた最中に、「serv-u.exe」から攻撃が来ていることに気付いたという。
https://twitter.com/yo_yo_yo_jbo/status/1483950984648806402
同氏は、「詳しく調べたところ、Serv-Uにデータをフィードすると、サニタイズされていない入力を使ってLDAPクエリーを作成させられることが明らかになった。この手法はLog4jを攻撃する手段に使えるだけでなく、LDAPインジェクションにも使われる可能性がある」と書いている。
「SolarWindsは直ちに対応し、調査を行い、脆弱性を修正した。彼らの対応はこれまでに私が見た中で最も素早いもので、本当に素晴らしい仕事だった」
Microsoftはその後、Log4jの脆弱性悪用対策に関するガイダンスのブログを更新し、この問題(CVE-2021-35247)について、入力の検証処理に存在した脆弱性であり、攻撃者が何らかの入力を行うことで、サニタイズの処理が行われないままその入力を使用してクエリーを作成し、そのクエリーをネットワーク上で送信することが可能だったと説明している。
□Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability - Microsoft Security Blog(英文)
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
□CVE - CVE-2021-35247(英文)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35247
SolarWindsは、発表したアドバイザリーの中で、LDAP認証行うServ-Uのウェブログイン画面で、十分にサニタイズの処理が行われていない文字を入力することが可能だったと述べている。
□SolarWinds Trust Center Security Advisories | CVE-2021-35247(英文)
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35247
同社は「SolarWindsは、追加の検証とサニタイズの処理を行うように入力の仕組みを更新した。LDAPサーバーが不適切な文字を無視していたことから、ダウンストリームへの影響は見つかっていない」と述べた上で、影響を受けるのは15.2.5以前のバージョンだと説明している。
Microsoftは、影響を受けた顧客に対して、SolarWindsのアドバイザリーで説明されているセキュリティアップデートを適用するよう呼びかけており、Microsoftのツールを使えば、脆弱性のあるデバイスを特定し、修正することができると述べている。また、「Microsoft Defender Antivirus」と「Microsoft Defender for Endpoint」もこのアクティビティに関連する悪質な振る舞いを検出するという。
NetenrichのJohn Bambenek氏は、Microsoftの連絡と、SolarWindsの素早い対応は、脆弱性への対応の良い手本を見せてくれたと賞賛した。
同氏は、「攻撃について知る能力を持つ大手IT企業が、ソフトウェア企業に連絡を取り、すぐにパッチが公開される。これこそ、私たちが必要としている脆弱性と研究に関する協力関係だ」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/log4j-microsoft-discovers-attackers-targeting-solarwinds-vulnerability/
2022-01-24 13:34
ZDNet Japan
https://japan.zdnet.com/article/35182480/
https://twitter.com/5chan_nel (5ch newer account)
ニュース
- 和歌山地裁「密売人から受け取ったのが覚醒剤でなく氷砂糖だった可能性」、紀州のドン・ファン殺害事件 ★2 [お断り★]
- 【国際】グレタさん「くたばれドイツ、そしてくたばれイスラエル」と叫び大笑いする [あしだまな★]
- トランプ氏の外交ブレーン「日本は台湾有事に備えよ。トランプ政権が誕生しても戦争が勃発する可能性は非常に高い」 ★2 [お断り★]
- 【千葉】定員割れの県立高なのに不合格、「教育受ける権利を侵害」…難病の少女が入学許可求め提訴 [少考さん★]
- 【野球】日本ハム新庄監督「札幌ドームが良くないですか。屋根もあるし、入れ替えも凄く(やりやすい)」 2軍本拠地移転に私見 [阿弥陀ヶ峰★]
- テレビ、2つの誤解 「ドラマの再放送」はちっとも儲からない 「TVer」は新たな収益の柱にはならない [ネギうどん★]
- 玉木雄一郎をみた日本人、キレる「今までの野党って本当になんだったの?」👉125万バズ [601437148]
- 【朗報】海外「日本の漫画は日本ばかり舞台にしていてうんざりだ!オリジナルの世界や宇宙にしてくれ!」 [407370637]
- 秋田の若者「ほな…」 人口流出が深刻化 二度と帰らん模様 [384232311]
- 【速報】パーカーおじさん、目撃証言多発wwwwwwwwwwwwwwwwwwwwww [308389511]
- 朝のホロライブスレ🌅
- 【大悲報】「大阪」、陽気で明るいイメージあるのになぜか幸福度が最下位・・・なんでなの? [732289945]
