Log4jの脆弱性に関する最近のニュースは、SASのお客様の多くにとって依然として最大の懸念事項です。ここでは、SASによる最新の活動と発見事項を皆様と共有したいと思います。
SASのお客様へ:
SASソフトウェア環境およびSAS Cloudホスティング環境のセキュリティと完全性は常に当社の最優先事項です。SASのチームは、Log4j脆弱性に関する報道が出た後の早い時期(2021年12月中旬)に迅速に対応しました。オンプレミス環境のお客様のためには、影響を受けるSAS製品に関する情報はもとより、推奨されるアクションもご案内しました。SAS Viya 2021.2.2には、アップデートされたバージョンのLog4jが含まれています。加えて、当社は「loguccino」という無償ツールをリリースしました。お客様はこれを使うことで、ご利用中のSAS 9.4およびSAS Viya 3.x環境内にある脆弱なlog4jファイル群を検出し、パッチを適用することができます。
SAS Cloudホスティング環境のお客様のためには、「こうした脆弱性が悪用される可能性のある、この環境の複数の側面」を即座に強固にしました。具体的には、ネットワークベースのポリシーの厳格化や監視の増強などです。当社では「これらの公表された脆弱性に特化した形での、SASソフトウェアに関連した攻撃」のエビデンスは一切検知しておりません。
さらなる調査の結果、当社では「Log4j脆弱性自体は深刻であるものの、SASがホスティングされているシステム内におけるLog4jのコンフィグレーションおよび利用法では、エクスポージャーは極めて限定的」と判断しました。いかなる未認証ユーザー(=既存のアクセス権限を持たないユーザー)も、リモートコード実行脆弱性(RCE脆弱性)をトリガーすることはできません。これらの発見事項と既に実施済みの予防措置とを踏まえ、当社では「SAS Cloud内のお客様のSASアプリケーションとデータは安全性が維持されている」という確信を感じています。
さらなる詳細については、本件に関するSAS Security Bulletin(セキュリティ速報)をご覧ください。
ご利用中のSAS環境の生産性・安全性の維持に関する皆様の継続的なパートナーシップに感謝いたします。また、SASのお客様でいてくださり、ありがとうございます!
セキュリティ速報のハイライト
- 上記の速報のアップデートに関する通知を受け取るには、SAS Support Communitiesのトピック「Updates on log4j Remote Code Execution Vulnerability (CVE-2021-44228)」をサブスクライブするか、このRSSフィードをフォローしてください。
- SASでは、お客様のために “監査済みの自動化されたアプローチ” を提供する取り組みの一貫として、「loguccino」という脆弱性パッチスクリプトを開発済みです。このloguccinoは「logpresso」に似たツールですが、SASソフトウェア向けにカスタマイズされています。このツールはSAS 9.4およびSAS Viya 3環境を修復するために特別に設計されており、脆弱なLog4j JARファイルを再帰的に検索し、JndiLookupクラスを取り除いた上で、この脆弱性を含まない状態でJARを再パッケージ化します。
- 上記の速報には、SASがアップデート済みバージョンのLog4jを自社ソフトウェア内にデリバリーするにあたっての計画とタイムラインも記載されています。
- SAS Viya 2020.1、SAS Viya 3.5、SAS Viya 3.4プラットフォームおよびSAS 9のSAS Logonプロセス内でのLog4jの利用に関してSASが実施した継続的および継続中の調査では、「CVE-2021-44228に関するコミュニティの理解を踏まえると、未認証のRCEエクスプロイトは現時点では不可能である」という結論に達しています。
- 大手の脆弱性スキャニング・ベンダー(Qualys、Rapid7、Tenable)はすべて、「この脆弱性に関連した最も一般的な攻撃ベクトル群をチェックするための、アップデートされたシグニチャ群」をリリース済みです。
最後に念のため繰り返しますが、お客様はいつでも当社のSupportサイトで最新のセキュリティ速報(英語)をご覧いただけます。
この記事は、英語版のオリジナルをもとにSAS Institute Japanが翻訳および編集したものです。