米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月14日(現地時間)、「Ivanti Updates Log4j Advisory with Security Updates for Multiple Products」において、米IvantiがApache Log4j 2.x(以下、Log4j 2)のCVE-2021-44228をはじめとする脆弱性に関するセキュリティアドバイザリを更新したと伝えた。

Log4j 2に報告されている一連の脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)は、通称「Log4Shell」とも呼ばれており、悪用されるとリモートから任意のコードを実行されたり、サービス運用妨害(DoS)攻撃などを受けたりする可能性がある。攻撃への利用が極めて容易なことから、早急に対処することが推奨されている。

Ivantiでは、この脆弱性の情報が広まった当初より次のセキュリティアドバイザリを公開し、状況に応じて更新しながら同社製品における対応状況を伝えている。

  • CVE-2021-44228 - Java logging library (log4j) - Ivanti Products Impact Mapping

    CVE-2021-44228 - Java logging library (log4j) - Ivanti Products Impact Mapping

このアドバイザリによれば、2022年1月17日時点でLog4j 2の脆弱性の影響を受ける製品としては、以下が挙げられている。

リンク先は各製品ごとのセキュリティアドバイザリであり、それぞれにおける対処方法などが掲載されている。なお、上記製品を含めて、CVE-2021-45046、CVE-2021-45105、およびCVE-2021-44832に関してはIvanti製品は影響を受けないという同社による調査結果が公表されている。

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、ユーザおよび管理者に対して、Ivantiによるセキュリティアドバイザリを確認した上で、影響を受ける製品について必要なアップデートと回避策を適用することを推奨している。