Java向けのログ出力ライブラリー「Apache Log4j」で見つかったゼロデイ脆弱性「CVE-2021-44228」は、共通脆弱性評価システム(CVSS)で10.0という最大レベルのスコアが付与されており、インターネット上で現在最も大きな注目を集めるものになっています。
悪用される前にパッチを適用しようと対応を急いでいるようですが、パッチが適用されていなければ、Java用のロギングライブラリー「Apache Log4j」の脆弱性をサイバー犯罪者が悪用し、コンピューターサーバーを乗っ取る可能性があり、それにより人気のオンラインサービスやコンシューマー向けデバイスなどで問題が発生する恐れがあるのだそうです。
Log4jは、エラー情報などのログを外部に出力するプログラムで、Javaのプログラムの中でも広く使われるものの一つで、iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでも使われているため、悪用された場合の影響範囲が大きいようで、国内においても脆弱性を悪用した通信が多数観測されているようですね。
CISAは、Log4Jが稼働しており、インターネットに接続されているデバイスを洗い出し、「速やかに」Log4jのバージョン2.15.0以降にアップグレードするか、ベンダー各社が提供している緩和策を適用するよう勧告しているようで、対策方法は、修正バージョンへの更新、Lookup機能をオフにするなど。バージョン2.15.0以降であればLookup機能が標準でオフになっている。この他、Log4jを使っているiCloudなどのサービスやアプリの更新状況をチェックすること、通信ログなどを見て攻撃がないか確認すること、アクセス制限を掛けることなどを推奨しています。
※コメント投稿者のブログIDはブログ作成者のみに通知されます