2021 年 12 月 10 日に米国国立標準技術研究所(NIST)から公開され、Log4j または Log4Shell(以下、Log4Shell という)として知られるゼロデイ脆弱性(CVE-2021-44228)を悪用した攻撃の観測事例も出てくるなど、実際にサイバー攻撃の標的にされてきていることが明らかになってきました。CVE-2021-44228 には、現在 CVSS v3 リスクスコアの基本評価基準(Base Metrics)が 10(最大)と、最も深刻度が高い「緊急」という評価が割り当てられています。 VMware の脅威分析ユニット TAU(Threat Analysis Unit)は、本脆弱性を悪用した試みとなる活動を多く観測し、活動の監視および評価し続けています。 VMware 製品固有の影響については、VMwareセキュリティアドバイザリをご参照ください。 本脆弱性は、Apache log4jというオープンソースの Java プログラム用ロギング API と、DNS や LDAP を利用するための Java ライブラリである JNDI(Java Naming & Directory Interface)が大きく関係しています。 Lo4j は JNDI を Lookup する機能があり、書き込んだログの一部を自動で変数化します。これを悪用して、RCE(Remote Code Execution:リモートコード実行)を行えるようになり、その手順例は次のようになります。 (1) Log4Shell の脆弱性をトリガーする文字列を含む HTTP リクエストを送信 (2) Java アプリケーションから Log4j … 続き
The post VMware NSX による ”仮想パッチ” で脆弱性対策にアジリティを appeared first on VMware Japan Blog.