Log4jの致命的なゼロデイ脆弱性で今わかっていることのまとめと何が起きているのか(Minecraft中心)

この記事は 限界開発鯖 Advent Calendar 2021 - 11日目の記事です。
本当は17日目が私の担当なんですが、なんと1週間も空きができてしまったので緊急で入れました。

Advent Calendarに相応しくない記事のチョイスですが、大急ぎで書いた内容なので大目に見てください。11日目はただただ辛いですが、12日目以降は楽しい記事が待ってます！お楽しみに！(自分の記事がまだ未定という大問題案件)

この記事は "今わかっていること" と "何が起きているのか" を簡潔にまとめたものです。 （別に面白い情報など一切ないです、本来の担当日 17日目にご期待ください。) ここにある情報が必ずも良いわけではありません。常に最新の情報を確認してください。(Discordなど)

事のざっくりまとめ

2021/12/10(JST) 6:48にSpigotに緊急のセキュリティーパッチがリリース。バージョン範囲は 1.8.8~1.18 。
そう、過去のバージョンのバックポートも含まれているSpigotでは今までに一度もないアップデート。

↓

Javaベースのロギングユーティリティ『log4j』で極めて重大な脆弱性に関する警告がspigotmcやpapermcのコミュニティから通知され、全サーバーが調査のため一時的に停止する

↓

ところが一部のコミュニティーでクライアント(つまり、プレイヤー側のMinecraft本体)への攻撃が可能であるという懸念が報告される

【Minecraft・重要・拡散希望】
Minecraft 1.8〜1.18をご利用の方全員にお知らせ致します。
Minecraftに大変重大な脆弱性が発見されました。攻撃は始まっています。今のところ、どんなサーバーも参加しないでください。サーバーは停止させてください。必ず安全を確認してから復帰してください。 https://t.co/FypiEhclAI

— SaziumR (@SaziumR) December 10, 2021

↓

界隈は大騒ぎになり、日本・海外のみならず色んなMinecraftサーバーが停止する事態に

マイクラサーバー界隈全体への注意喚起です #整地鯖 pic.twitter.com/2YidgCyiJh

— うんちゃま (@tsukkkkkun) December 9, 2021

↓

問題はMinecraftのみならず、Steamなどにも発生。事態は深刻に

↓

Mojang Studioは 1.18(洞窟と崖：パートII)～1.12.2(プレリリース-2) までの全バージョンのアップデートを実行。
これもかなりの異常事態

↓

Mojangは後の修正版の1.18.1(RCEの悪用などの複数の問題の修正)、および各種適切な対応として『IMPORTANT MESSAGE: SECURITY VULNERABILITY IN JAVA EDITION』 を発表　←いまここ

攻撃の内容

攻撃条件が記載されているログを出力してサーバーであれば接続した任意のユーザーなどから任意のコードをリモートで叩くことができる

ゼロデイまで

GitHubであるLog4jのバグの修正に関するPR 内でこの脆弱性が報告されたが時既にお寿司。あっという間にゼロデイ化した

今わかっていること

• 1.18.1~1.12.2までのバニラクライアントは全て対応が行われているため、ひとまず安全
• 非公式クライアント(LunerClientやBadlion Clientなどの公式以外のクライアント)の対応はまちまち
  • LunerClientやBadlion Clientは対応済み
  • Optifine・Forgeは未確認
• 不正な文字列は配布マップのコマンドブロックなどでも有効？(未検証)
• poc(概念実証)はLog4jが直ってないのに出る始末...... (マジで良くないよ)
• あるLog4Jのバグ修正PR 修正中に気づいた模様
  • この問題は半月前から報告されていたのに未修正のまま放置されていた。
    • あるFPSゲーム会社のようですね
• この問題はMinecraft Java Editionのみで発生
  • Minecraft Bedrock Editionそれに継いするサーバーソフトウェア『PocketMine-MP』は一切の関係がありません。
• オープンソースソフトウェアの世界からの最新のセキュリティの脆弱性がまとめられているデータベース GitHub Advisory Databaseでは 重大な重要度 ランクになっていて CVE-2021-44228のCVE番号が割り当てられている
  • Remote code injection in Log4j - GitHub Advisory Database
• 恐らくMinecraft Java Editionの歴史上最大級のセキュリティーホール(脆弱性)

---

大好きなMinecraft Java Editionがこんなことになってて辛いですが、一刻も早く元のMinecraftサーバー界隈になることを祈って待っています。

明日はさいなさん(@MikuroXina) の 『チャンネル 2 つだけで歌唱合成』です。

1週間近く開いてしまった限界開発鯖 Advent Calendar 2021ですが、残り2週間楽しい個性溢れた記事が待っています。お楽しみに！

Enjoy!