LogStareのSOCの窓 号外「Log4jの脆弱性(CVE-2021-44228)への各種セキュリティ製品の対応」

株式会社LogStareは「ログを見つめる（Stare）」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

　今回は通常の連載を一時休止し、先日発見され世間を賑わせているJavaのロギング用ライブラリ、Log4jの脆弱性(CVE-2021-44228)についての情報をお届けします。
Javaで作成された多くの製品が影響を受けるため、業界内では関心が高く、火急の対策が呼びかけられている脆弱性です。
自社の導入製品が影響をうけるかどうか、どのような対策が必要か、本記事の内容が、皆様の実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

※本記事の内容は、2021年12月13日現在の公開情報をもとに記載しております。お使いの製品でIPS機能等が利用できるライセンスであるか、シグネチャ等のアップデート方法や具体的な検知・防御の設定方法については購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

脆弱性の概要

2021年12月10日、Javaの著名なロギング用ライブラリである「Apache Log4j」に、外部から任意のコードを実行(RCE)される可能性のある脆弱性(通称:Log4shell)が報告されました。
Javaで作成された多くのプログラムで利用されており、また利用しているフレームワークやライブラリ等で間接的に利用されている可能性もあり、影響が広範囲に及ぶと考えられます。
また、すでに攻撃が観測されているという情報もあり、注意が必要です。

対策および緩和策

難読化等を行うことで検知・防御を回避できるとの情報もあり、根本的な対策としては、本脆弱性を修正したバージョンへの更新となります。

しかし、脆弱性の緩和策、一時的な対策としては、各UTM/IPS/WAF/ファイアウォール等での防御も有効であると考えられます。
当社では、各UTM/IPS/WAF/ファイアウォールの対応状況について調査し、Palo Alto Networks製品、Fotrinet製品をはじめ、各メーカーの対応状況をまとめました。
詳しくは当社を含むセキュアヴェイルグループが運営する、ネットワーク・ログ監視の技術情報メディア「ナレッジステア」にてご確認ください。

【随時更新】Log4jの脆弱性(CVE-2021-44228)に対する各UTM/IPS/WAF/ファイアウォールの対応状況について

※情報は随時更新しています
※SSL/TLS通信内における検知・防御には復号化も併せて行う必要があります

まとめ

今回は緊急性の高いLog4jの脆弱性(CVE-2021-44228)についての情報をお届けしました。

根本的な対策としては、脆弱性に対応したLog4jへのアップデートとなりますが、各UTMやWAFによる緩和についても一定の効果が得られると考えられます。
また、外部への通信(アウトバウンド方向)をファイアウォール等で制御していれば、万が一本件の脆弱性を突いた攻撃を受けた場合の影響を緩和できる可能性もあります。

本件は、外部からのコードの実行にldapが用いられることが確認されており、外部への不要なldap通信を遮断することが緩和策の一つになると考えられます。
これを機に、サーバからのアウトバウンド通信のファイアウォールについて見直してみることもおすすめします。