「Log4Shell」Apacheの脆弱性：Kiteworksの顧客が知っておくべきこと

最近のKiteworksのお客様へのアラートに続き、ApacheのLog4j Javaベースのオープンソースロギングライブラリに3つの脆弱性が発見されました。これらの脆弱性（CVE-2021-44228、CVE-2021-45046、CVE-2021-45105）は、Log4ShellまたはLogJamと総称されています。過去のShellshockやHeartbleedのようなエクスプロイトと同様に、Log4Shellはリモートで悪用可能なセキュリティの欠陥であり、認証を必要とせずにシステム全体を乗っ取ることが可能です。

Log4Shellがもたらす一般的なリスクとは？

最初の脆弱性は、2021年11月24日にAlibaba CloudのセキュリティチームによってApacheに報告されました。CVE-2021-44228は、Apache Struts2、Apache Solr、Apache Druid、Apache Flinkなど、複数のApacheフレームワークのデフォルト設定に影響を与える重大な脆弱性です。

報道によると、このライブラリは企業向けソフトウェア、ウェブアプリケーション、製品で広く使用されており、Apple、Amazon、Cloudflare、Twitter、Steamなど、多くの企業が利用しています。これにより、家庭のユーザーや企業がリモートコード実行攻撃にさらされています。ShellshockやHeartbleedのエクスプロイトと同様に、専門家は今後数週間で脆弱な製品が増加すると予測しています。

概念実証（POC）エクスプロイトが現在オンラインで共有されており、脅威アクターはすでに脆弱なサーバーをスキャンするマルウェアを配布し始めています。最初のゼロデイ脆弱性の公開とパッチリリースの直後に、2つの追加のLog4j脆弱性が発見され、パッチが適用されました：12月14日のCVE-2021-45046と、12月18日のCVE-2021-45105（これはサービス拒否[DoS]の問題です）。

これがKiteworksのお客様に与える影響は？

最近のKiteworks 2021年秋リリース（7.6）には影響を受けるApacheライブラリが含まれていますが、テストではこれらの脆弱性に対する露出の兆候は見られませんでした。公開されているPOC攻撃をいくつか試みましたが、Kiteworksプラットフォームでの悪用の兆候はありませんでした。したがって、現在のところ、これをシステム内のP0脆弱性とは見なしておらず、Log4Shellがシステム内で悪用されている兆候はありません。さらに、Kiteworksの多層保護には個別に暗号化されたファイルが含まれており、これらの種類の脆弱性にさらされることはありません。

Kiteworks 7.6.2セキュリティパッチをインストール

予防措置として、Kiteworksはこれらの脆弱性に対処するために7.6.2ソフトウェアアップデートをリリースしました。このパッチリリースは、Apache Solrグループの推奨に従って、Solrパッケージに含まれるCVE-2021-44228、CVE-2021-45046、およびCVE-2021-45105の緩和策を追加します。具体的には、CentOS 7システム上でLog4jライブラリを脆弱でないバージョンに更新し、CentOS 6およびCentOS 7の両方で可能な攻撃ベクトルを無効にするために推奨されるオプション「$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true」を追加します。

これらの脆弱性を積極的に監視し、脅威ベクトルにおいて上記の評価を変更するような変化があるかどうかを判断し続けます。Log4Shellや7.6.2パッチに関する質問や問題がある場合は、Kiteworksサポートまでご連絡ください。