先日、攻撃者が悪用されたマシンで遠隔からコマンドを実行できるほど深刻なJavaの脆弱性(Log4Shell)が発見されました。この脆弱性は、米国国立標準技術研究所(NIST)によりCVE-2021-44228として追跡されており、広く利用されているオープンソースのサーバーパッケージであるApacheのロギングライブラリに影響を及ぼします。この脆弱性は、ブラウザ、モバイル機器、またはアプリケーションプログラミングインターフェース(またはAPI)呼び出しから直接アクセスできるすべてのシステムを危険にさらすものです。
AMDは、自社のソフトウェア製品はこの脆弱性から安全であると発表していますが、インテルは、現在脆弱性が存在するJavaを利用したアプリケーションを9つもリストアップしています。
- インテル オーディオ開発キット
- インテル® Datacenter Manager
- Eclipse用インテルoneAPIサンプルブラウザプラグイン
- インテル・システム・デバッガー
- Intel Secure Device Onboard (GitHubで公開されている緩和策)
- インテルゲノミクス・カーネル・ライブラリ
- インテル・システム・スタジオ
- インテルが保守するコンピュータ・ビジョン・アノテーション・ツール
- インテルセンサソリューションファームウェア開発キット
ApacheのLog4Jサービスにおけるエクスプロイトでは、ハッカーがターゲットサーバーを騙し、攻撃者がコントロールするサーバー上でホストできる任意の(悪意のある)コードをダウンロードし実行することができ、ソフトウェアセキュリティソリューションの複数の層を回避することが可能です。重要なのは、この悪用はシステムへの物理的なアクセスを必要としないことです。ある種のブラウザーアクセスが可能なサーバーであれば、どのようなサーバーでも起動することができます。このことが、この脆弱性が「CVSS 3.0」ガイドラインの最高値に分類された理由です。10. インテルは現在、この脆弱性を緩和するアプリケーションの更新版を提供しています。
AMDは、予備調査の結果、自社製品に本脆弱性の影響はないようだと発表しています。しかし、その潜在的な影響を考慮し、AMDは “分析を続けている “と述べています。
Nvidiaの状況は若干複雑で、各アプリケーションのサービスおよびサブサービスに最新リリースを使用している場合、現在のところ悪用可能な既知の脆弱性は存在しないとのことです。しかし、サーバー管理者が常に最新のアップデートをマシンに搭載しているとは限らないため、同社は、古いバージョンの場合、「Log4Shell」に対して脆弱な4種類の製品をリストアップしています。
- CUDA Toolkit Visual ProfilerおよびNsight Eclipse Edition
- DGXシステム
- NetQ
- vGPUソフトウェアライセンスサーバー
また、NvidiaはDGXエンタープライズコンピューティングシステムをUbuntu-Linuxパッケージで配布しており、ユーザーは自分でApacheのLog4J機能ブロックをインストールすることができます。このように、システムは出荷時の構成で免疫があります。しかし、Log4Jサービスがインストールされている場合、Nvidiaはサービスを最新バージョンに更新するようユーザーに促しており、これにより脆弱性が発生します。
マイクロソフトでは、この脆弱性をターゲットとした2つの製品のアップデートを発表しています。Azure Spring Cloudは、ブートプロセスに特定のLog4J要素を使用しているため、アップデートしない限り、この脆弱性を利用される可能性があります。マイクロソフトのAzure DevOpsアプリケーションも、この脆弱性を無効化するための緩和策を受けています。