今週気になったIT関連のニュース

2021年12月20日～2021年12月26日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• 今週のLog4j
• Azure App Service (Azure Web Apps)で4年間利用者の情報が公開された状態になっていた
• 最後に

今週のLog4j

今週も多くの記事がでていましたが、新しい情報が次々と出てくるフェーズは過ぎた印象。

1.CISA, FBI and NSA Publish Joint Advisory and Scanner for Log4j Vulnerabilities (thehackernews.com)

• Cybersecurity and Infrastructure Security Agency (CISA)がLog4jの脆弱性をスキャンするツールを公開した。
  • GitHub cisagov/log4j-scanner
• しかし、Log4jのライブラリは深くネストされていたり様々なパッケージ化方法が取られている可能性があるので、このツールで100%検知できるわけではない。

2.A new attack vector exploits the Log4Shell vulnerability on servers locallySecurity Affairs

• セキュリティ研究者が考案した新しい攻撃の可能性。in the wildではない。
• JavaScriptのWebSocketを使って、外部や内部に公開されている脆弱性が修正されていないLog4jを悪用する。
  • そのため、「このLog4jサーバが外部に公開されていないから問題ない」として更新していなかったシステムも攻撃の対象になる可能性がある。
  • 開発環境としてローカル上に構築された環境も対象。
    • 開発環境として、ローカルでLog4jを使っていた事例
    • Arduino’s response to Log4j2 vulnerability CVE-2021-44228 – Arduino Help Center

3.China suspends deal with Alibaba for not sharing Log4j 0-day first with the government (thehackernews.com)

• 法律に違反したということで、中国政府はアリババグループとの取引を6ヶ月間停止した。
  • 法律の超概要は「セキュリティ脆弱性を見つけた場合は中国政府に報告すること。他国の組織や個人に知らせないこと」というような内容。
• 「自国のシステムを守るため」というのが大義名分なのだろうが、それにしても「他国に知らせない」というところは筋が通らない気がしている。
  • そこから発展して「0day脆弱性を最初に知って何をするつもりだったのだろう？」という疑問を持つ人も多いと思うので、公式の見解がどのようになっているか調べてみたい。

Azure App Service (Azure Web Apps)で4年間利用者の情報が公開された状態になっていた

What

• Azure Web Appsに脆弱性があり、Java、Node、PHP、Python、Rubyで記載されたソースコードが公開された状態になっていた。
• 公開されていた期間は少なくとも4年間。
• Azure Web Appsで使われていたGitの.gitフォルダが公開されていた。
• この問題は、Microsoftのサービスがデフォルトで安全でない設定になっていたことが原因。
• この問題には「NotLegit」という名前がつけられた。
  • NotLegitの詳細
  • NotLegit: Azure App Service vulnerability exposed hundreds of source code repositories (wiz.io)
• 以前検証用にAzure Static Web Appsを使ったことがあったので、この時のWebアプリも情報が漏洩したいたのかもしれない。検証が終わったらすぐに削除したので、影響は軽微なはずだが。
  • Azure Static Web Apps とNetlifyで表示速度を比較してみた · kapieciiのブログ

最後に

Log4jの問題は一旦新しい情報がバンバン出てくる段階は終わったように思う。
まだ対応できていないシステムが大量にあると思うので、ここからは「どうやってそれらのシステムにUpdateを適用していくか」「実際にLog4jの脆弱性を突かれた事例」みたいな内容が増えてくるのだろうか。