アクロニス・ジャパン株式会社は、Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)における、当社製品への影響と予防措置に関するセキュリティアドバイザリを、以下のように公開しました。
● CVE-2021-44228に関するセキュリティアドバイザリ
※2021年12月16日 0:20(日本時間)時点の情報となります。最新の状況についてはウェブサイトのセキュリティアドバイザリ< https://security-advisory.acronis.com/advisories/SEC-3859 >をご確認ください。
■説明
Apache Log4jのライブラリーに、セキュリティ上の重大な脆弱性があることが確認されました。この脆弱性は、CVE-2021-44228として登録されています。< https://nvd.nist.gov/vuln/detail/CVE-2021-44228 >
Apache Log4j の設定、ログメッセージ、パラメータに使用されるJNDI(Java Naming and Directory Interface)の機能が、攻撃者が制御するLDAPやその他のJNDI関連エンドポイントにから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージ検索置換が有効になっている場合、LDAPサーバーから読み込まれた任意のコードを実行することができます。
■影響を受ける製品
現在、アクロニスのセキュリティチームは本脆弱性の影響を受ける可能性のある製品について調査を行っています。調査の進捗に応じて、影響を受ける製品に関する情報を本アドバイザリで更新します。
Acronis Cyber Protect Cloud
Log4jライブラリーは、Elasticsearchモジュールの一部として当該製品に含まれています。Elasticsearchは、Java Security Managerを使用しているため、本脆弱性によるリモートコード実行の影響を受けにくくなっています。< https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 >
さらなる予防措置として、影響を受けている可能性があるサーバーからのアウトバウンド接続をブロックするファイアウォールルールを適用しました。アクロニスは引き続き、状況を監視し、お客様を保護するために必要な措置を講じてまいります。
Acronis Cyber Protect Cloudに対して、この脆弱性が悪用された兆候は確認されていません。
■影響を受けない製品
以下の製品は、影響を受けないことが確認されています。
・Acronis Cyber Backup 15
・Acronis Cyber Backup 12.5
・Acronis Cyber Infrastructure 3.5および4.x
・Acronis Cyber Files 8.6.2以降
・Acronis Cyber Protect Home Office(旧Acronis True Image)バージョン2017以降
・Acronis Snap Deploy 5 および 6
・Acronis Backup 11.7
・Acronis DeviceLock DLP 9.0
・Acronis MassTransit 8.1 および 8.2
・Acronis Files Connect 10.7以降
■予防措置
すべてのお客様に対して、影響を受ける可能性のあるサーバーからのDNSクエリーとすべてのアウトバウンド接続をブロックし、監視することを推奨します。また、該当するApacheのセキュリティアドバイザリ< https://logging.apache.org/log4j/2.x/security.html >も併せてご確認ください。
■CVSS Score
10.0 Critical
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
< https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H >
■CWEs
・CWE-1352
< https://cwe.mitre.org/data/definitions/1352.html >
■参照
・CVE-2021-44228
< https://nvd.nist.gov/vuln/detail/CVE-2021-44228 >
● CVE-2021-44228関連のブログ記事
・インターネット全体の脅威となるLog4jのゼロデイ
< https://www.acronis.com/ja-jp/blog/posts/log4j-zero-day-poses-an-internet-wide-threat >
・Apache Log4jの重大な脆弱性が発見されるー知っておくべきこと
< https://www.acronis.com/ja-jp/blog/posts/critical-apache-log4j-vulnerability-discovered-heres-what-you-need-to-know >
● CVE-2021-44228関連のウェビナー
2021年12月16日(木)23:00(日本時間)より、本件について当社セキュリティエキスパートがご説明をするウェビナーを開催いたします。詳細およびお申込みについてはこちら< https://promo.acronis.com/20211216_Global-FY21-Q4-EN-Educational-Webinar-Log4j-Vulnerability_LP1-Registration.html >をご覧ください。
アクロニスについて
アクロニスは、データ保護とサイバーセキュリティが一体となった統合型の自動サイバープロテクションにより、安全性、アクセス性、プライバシー、真正性、セキュリティ(SAPAS)に関連する現代のデジタル社会の課題を解決します。サービスプロバイダーとIT専門家の要求に応える柔軟なデプロイメントモデルと、次世代型の画期的なアンチウイルス、バックアップ、ディザスタリカバリ、エンドポイント保護管理ソリューションによって、データ、アプリケーション、システムに対して上質のサイバープロテクションを提供します。受賞歴のあるAIベースのアンチマルウェアテクノロジーとブロックチェーンベースのデータ認証テクノロジーにより、クラウドからハイブリッド、さらにはオンプレミスまで、あらゆる環境を予測可能かつ低いコストで保護します。
2003年にシンガポールで設立され、2008年にスイスで法人化されたアクロニスは、現在19か国の34の拠点で1,700人を超える従業員を抱えています。アクロニスのソリューションは、550万人以上のホームユーザーと50万社以上の企業の信頼を得ており、この企業にはFortune 1000選出企業のすべてと一流プロスポーツチームが含まれています。アクロニスの製品は150か国以上の5万社のパートナーおよびサービスプロバイダー経由で提供され、40以上の言語でご利用いただけます。
Acronis(R)は米国、およびその他の国におけるAcronis International GmbHの登録商標です。
ここに記載されるその他すべての製品名および登録/未登録商標は、識別のみを目的としており、その所有権は各社にあります。
● CVE-2021-44228に関するセキュリティアドバイザリ
※2021年12月16日 0:20(日本時間)時点の情報となります。最新の状況についてはウェブサイトのセキュリティアドバイザリ< https://security-advisory.acronis.com/advisories/SEC-3859 >をご確認ください。
■説明
Apache Log4jのライブラリーに、セキュリティ上の重大な脆弱性があることが確認されました。この脆弱性は、CVE-2021-44228として登録されています。< https://nvd.nist.gov/vuln/detail/CVE-2021-44228 >
Apache Log4j の設定、ログメッセージ、パラメータに使用されるJNDI(Java Naming and Directory Interface)の機能が、攻撃者が制御するLDAPやその他のJNDI関連エンドポイントにから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージ検索置換が有効になっている場合、LDAPサーバーから読み込まれた任意のコードを実行することができます。
■影響を受ける製品
現在、アクロニスのセキュリティチームは本脆弱性の影響を受ける可能性のある製品について調査を行っています。調査の進捗に応じて、影響を受ける製品に関する情報を本アドバイザリで更新します。
Acronis Cyber Protect Cloud
Log4jライブラリーは、Elasticsearchモジュールの一部として当該製品に含まれています。Elasticsearchは、Java Security Managerを使用しているため、本脆弱性によるリモートコード実行の影響を受けにくくなっています。< https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 >
さらなる予防措置として、影響を受けている可能性があるサーバーからのアウトバウンド接続をブロックするファイアウォールルールを適用しました。アクロニスは引き続き、状況を監視し、お客様を保護するために必要な措置を講じてまいります。
Acronis Cyber Protect Cloudに対して、この脆弱性が悪用された兆候は確認されていません。
■影響を受けない製品
以下の製品は、影響を受けないことが確認されています。
・Acronis Cyber Backup 15
・Acronis Cyber Backup 12.5
・Acronis Cyber Infrastructure 3.5および4.x
・Acronis Cyber Files 8.6.2以降
・Acronis Cyber Protect Home Office(旧Acronis True Image)バージョン2017以降
・Acronis Snap Deploy 5 および 6
・Acronis Backup 11.7
・Acronis DeviceLock DLP 9.0
・Acronis MassTransit 8.1 および 8.2
・Acronis Files Connect 10.7以降
■予防措置
すべてのお客様に対して、影響を受ける可能性のあるサーバーからのDNSクエリーとすべてのアウトバウンド接続をブロックし、監視することを推奨します。また、該当するApacheのセキュリティアドバイザリ< https://logging.apache.org/log4j/2.x/security.html >も併せてご確認ください。
■CVSS Score
10.0 Critical
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
< https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H >
■CWEs
・CWE-1352
< https://cwe.mitre.org/data/definitions/1352.html >
■参照
・CVE-2021-44228
< https://nvd.nist.gov/vuln/detail/CVE-2021-44228 >
● CVE-2021-44228関連のブログ記事
・インターネット全体の脅威となるLog4jのゼロデイ
< https://www.acronis.com/ja-jp/blog/posts/log4j-zero-day-poses-an-internet-wide-threat >
・Apache Log4jの重大な脆弱性が発見されるー知っておくべきこと
< https://www.acronis.com/ja-jp/blog/posts/critical-apache-log4j-vulnerability-discovered-heres-what-you-need-to-know >
● CVE-2021-44228関連のウェビナー
2021年12月16日(木)23:00(日本時間)より、本件について当社セキュリティエキスパートがご説明をするウェビナーを開催いたします。詳細およびお申込みについてはこちら< https://promo.acronis.com/20211216_Global-FY21-Q4-EN-Educational-Webinar-Log4j-Vulnerability_LP1-Registration.html >をご覧ください。
アクロニスについて
アクロニスは、データ保護とサイバーセキュリティが一体となった統合型の自動サイバープロテクションにより、安全性、アクセス性、プライバシー、真正性、セキュリティ(SAPAS)に関連する現代のデジタル社会の課題を解決します。サービスプロバイダーとIT専門家の要求に応える柔軟なデプロイメントモデルと、次世代型の画期的なアンチウイルス、バックアップ、ディザスタリカバリ、エンドポイント保護管理ソリューションによって、データ、アプリケーション、システムに対して上質のサイバープロテクションを提供します。受賞歴のあるAIベースのアンチマルウェアテクノロジーとブロックチェーンベースのデータ認証テクノロジーにより、クラウドからハイブリッド、さらにはオンプレミスまで、あらゆる環境を予測可能かつ低いコストで保護します。
2003年にシンガポールで設立され、2008年にスイスで法人化されたアクロニスは、現在19か国の34の拠点で1,700人を超える従業員を抱えています。アクロニスのソリューションは、550万人以上のホームユーザーと50万社以上の企業の信頼を得ており、この企業にはFortune 1000選出企業のすべてと一流プロスポーツチームが含まれています。アクロニスの製品は150か国以上の5万社のパートナーおよびサービスプロバイダー経由で提供され、40以上の言語でご利用いただけます。
Acronis(R)は米国、およびその他の国におけるAcronis International GmbHの登録商標です。
ここに記載されるその他すべての製品名および登録/未登録商標は、識別のみを目的としており、その所有権は各社にあります。
