Apache Log4jの脆弱性（CVE-2021-44228）の影響について

アクロニス・ジャパン株式会社は、Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）における、当社製品への影響と予防措置に関するセキュリティアドバイザリを、以下のように公開しました。

●CVE-2021-44228に関するセキュリティアドバイザリ
※2021年12月16日　0:20（日本時間）時点の情報となります。最新の状況についてはウェブサイトのセキュリティアドバイザリをご確認ください。

■説明
Apache Log4jのライブラリーに、セキュリティ上の重大な脆弱性があることが確認されました。この脆弱性は、CVE-2021-44228として登録されています。

Apache Log4j の設定、ログメッセージ、パラメータに使用されるJNDI（Java Naming and Directory Interface）の機能が、攻撃者が制御するLDAPやその他のJNDI関連エンドポイントにから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージ検索置換が有効になっている場合、LDAPサーバーから読み込まれた任意のコードを実行することができます。

■影響を受ける製品
現在、アクロニスのセキュリティチームは本脆弱性の影響を受ける可能性のある製品について調査を行っています。調査の進捗に応じて、影響を受ける製品に関する情報を本アドバイザリで更新します。

Acronis Cyber Protect Cloud
Log4jライブラリーは、Elasticsearchモジュールの一部として当該製品に含まれています。Elasticsearchは、Java Security Managerを使用しているため、本脆弱性によるリモートコード実行の影響を受けにくくなっています。

さらなる予防措置として、影響を受けている可能性があるサーバーからのアウトバウンド接続をブロックするファイアウォールルールを適用しました。アクロニスは引き続き、状況を監視し、お客様を保護するために必要な措置を講じてまいります。

Acronis Cyber Protect Cloudに対して、この脆弱性が悪用された兆候は確認されていません。

■影響を受けない製品
以下の製品は、影響を受けないことが確認されています。

• Acronis Cyber Backup 15
• Acronis Cyber Backup 12.5
• Acronis Cyber Infrastructure 3.5および4.x
• Acronis Cyber Files 8.6.2以降
• Acronis Cyber Protect Home Office（旧Acronis True Image）バージョン2017以降
• Acronis Snap Deploy 5 および 6
• Acronis Backup 11.7
• Acronis DeviceLock DLP 9.0
• Acronis MassTransit 8.1 および 8.2
• Acronis Files Connect 10.7以降

■予防措置
すべてのお客様に対して、影響を受ける可能性のあるサーバーからのDNSクエリーとすべてのアウトバウンド接続をブロックし、監視することを推奨します。また、該当するApacheのセキュリティアドバイザリも併せてご確認ください。

■CVSS Score
10.0 Critical
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

■CWEs

• CWE-1352

■参照

• CVE-2021-44228

●CVE-2021-44228関連のブログ記事

• インターネット全体の脅威となるLog4jのゼロデイ
• Apache Log4jの重大な脆弱性が発見されるー知っておくべきこと

●CVE-2021-44228関連のウェビナー
2021年12月16日（木）23：00（日本時間）より、本件について当社セキュリティエキスパートがご説明をするウェビナーを開催いたします。詳細およびお申込みについてはこちらをご覧ください。