2021年12月9日、セキュリティ業界は新たな脆弱性「CVE-2021-44228」を認識しました。 CVSS (Common Vulnerability Scoring System:共通脆弱性採点システム) のスコアが10.0で、CVE-2021-44228は最高かつ最も重大な警告レベルであり、「Log4Shell」というニックネームで呼ばれています。
技術的な背景を説明すると、2.0-beta9から2.14.1までのバージョンのJavaロギングライブラリ「Apache Log4j 2」に欠陥が見つかりました。 これにより、攻撃者が制御する文字列値を攻撃者の JNDI LDAP サーバー検索でシステムがログに記録した場合、リモートの攻撃者が Apache を実行しているサーバー上でコードを実行できる可能性があります。
より簡単に言えば、このエクスプロイトは、攻撃者がJavaアプリケーション上で悪意のあるコードを実行することを可能にし、世界中でLog4jが普及しているため、重大なリスクをもたらします。
Aryaka Networksのセキュリティ・チームは熱心に取り組んでいます。
情報公開以来、ここAryaka Networksのセキュリティチームは、当社の顧客や社内システムがこの脅威にさらされる可能性のある潜在的な脆弱性や露出を特定、特定し、軽減するために精力的に取り組んできました。
以下はイベントのログです:
2021年12月9日セキュリティコミュニティは、Apache Log4jソフトウェアにおける積極的な悪用の試みを認識しました。
2021年12月10日Aryaka Networksは、このエクスプロイトに関連するトラフィックシグネチャを特定し、当社の顧客ベースの積極的な監視を開始しました。
2021年12月12日Aryaka Networksは、以下のサービスおよびシステムに影響がないことを確認しています:
- Aryaka Network Access Point(ANAP)にはJAVAコンポーネントはなく、脆弱性はありません。
- 内部コンポーネントを含むMyAryakaは、log4j 2バージョンをどこにも使いません。
- Aryaka COREネットワークはこの脆弱性の影響を受けません。
- 弊社がサポートしているサードパーティのSASEソリューションには影響がないことを確認しています。
AryakaのクラウドファーストWANとセキュリティ・プラットフォームはどうですか? バレましたか?
短い答えはノーです。 当社のエンジニアリングチームとオペレーションチームは、当社のセキュリティアナリストと協力して自社のクラウドを調査し、当社が把握しているすべての情報に基づき、このエクスプロイトに対する脆弱性がないことを確認しました。
結局のところ、100%安全ということはありません。 このテストは、潜在的なリスクを最小限に抑えるために何をしたか、そして、リスクが顕在化したときにそれを軽減するために何ができるかということが重要なのです。 Aryakaには、攻撃対象領域を最小化し、新たな脅威への対応能力を最大化するためのあらゆるリソース、スキル、人材が揃っています。 これがお客様にふさわしいバランスです。
まだ終わったわけではない
このような知名度の高い重要なCVEではよくあることですが、ITおよびサイバーコミュニティのアナリストがこの件に深く踏み込むにつれて、より多くのデータやIoC(侵害の兆候)が表面化しています。
私たちの研究者とエンジニアは、コミュニティ全体の新しい発見を監視し、私たちの顧客が保護され続けることを確認するために独自の研究を実行し、彼らの仕事を続けています。
