4日前、Log4Shell Javaエクスプロイトが発掘され、ハッカーは悪意のある文字列を送信して起動することで、露出したWeb向けサーバーを制御することができ、Microsoft、NVIDIA、Intelなどの技術大手に影響を及ぼしました。
この悪用は、Javaベースのアプリケーション内部のイベントやエラーを記録するオープンソースのApache Log4jライブラリにあります。
Log4J、またはLog4Shellの悪用は、Javaベースのシステムをリモートで攻撃し、重要なデータ漏えいなどの可能性を広げます。
Log4Jとして知られるこの脆弱性は、米国国立標準技術研究所(NIST)が提供するCVE-2021-44228で追跡されています。
この脆弱性は、モバイル機器、API、またはブラウザを経由してアクセスすることができます。
インテル、マイクロソフト、nVidiaといったトップクラスのハイテク企業が、この非常に効果的なエクスプロイトの影響を受けています。
インテルは、Javaを利用する9つのアプリケーションを保有しており、このハッキングに対して脆弱性があります。
以下は、影響を受けるインテルのアプリケーションのリストです。
- Intel Audio Development Kit
- Intel Datacenter Manager
- oneAPI sample browser plugin for Eclipse
- Intel System Debugger
- Intel Secure Device Onboard (GitHub)
- Intel Genomics Kernel Library
- Intel System Studio
- Computer Vision Annotation Tool maintained by Intel
- Intel Sensor Solution Firmware Development Kit
NVIDIAの性質上、同社のアプリケーションやサービスは常に最新バージョンに更新されているため、この悪用を追跡することは非常に困難です。
同社は、サーバー管理者が常に最新のアップデートをマシンに提供するわけではないことを考慮し、NVIDIAはLog4Jの影響を受ける可能性が高い4つの製品を挙げており、特に製品のドライバーがリリースから古い場合は、その影響を受ける可能性が高いとしている。
- CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
- DGX Systems
- NetQ
- vGPU Software License Server
NVIDIAのDGXエンタープライズPCには、Ubuntu-Linux OSがプリロードされており、この脆弱性もあるため、NVIDIAは、ApacheのLog4J機能ブロックを手動でインストールできるユーザーには、直ちにシステムをアップデートするように伝えています。
マイクロソフトのAzure Spring CloudとAzure DevOpsアプリケーションは、この脆弱性が発見されて以来、いずれもパッチを適用しています。Azure Spring Cloudは、システムのブートプロセスに位置するLog4Shellの特定の要素を利用しています。
このエクスプロイトの性質上、システムを更新しなければ、脆弱性が発生する。
興味深いことに、AMDはLog4Jの悪用に無傷で済みました。AMDは、同社の製品ラインを最初に調査した後、どのラインも影響を受けていないと発表しましたが、この脆弱性の重大性から、引き続き調査を行うとしています。
解説:
JavaのLog4shellの脆弱性はリモートで任意のコードが実行されるという一番危険なものでした。
ゲーム界隈ではマイクラのサーバーが影響を受けるとして直ちに公開を止めるように注意喚起が出回っていました。
Intelやマイクロソフト、nVidiaも対応に追われたようですが、AMDだけは影響のある製品が無いということで、無傷でやり過ごしています。
正直、ソフト周りのサポートが弱すぎるというケガの功名のような気もしますが、これだけ大騒動になった脆弱性に全く影響を受けないというのはほっと胸をなでおろしたと言った感じです。