ブログ

Apache Log4j2 の脆弱性 (CVE-2021-44228) に対する保護

F5 サムネイル
F5
2021年12月14日公開

ご注意ください: このブログの最初の公開以降、F5 は後続の CVE (CVE-2021-45046、CVE-2021-4104、CVE-2021-45105) をレビューし、以下に説明する保護メカニズムがこれらの脆弱性にも有効であると判断しました。

12 月 9 日に明らかになって以来、世界中のセキュリティ チームは Apache Log4j2 のセキュリティ脆弱性 (CVE-2021-44228) がもたらす脅威を理解し、その危険性を特定し、緩和策を講じるために 24 時間体制で取り組んでいます。 多くの もっている された この脆弱性については Log4Shell とも呼ばれる名前で書かれていますが、簡単に言うと、これはリモート コード実行の脆弱性であり、攻撃者が特定のデータを脆弱なアプリケーションに送信して、一連のアクションをトリガーし、ターゲット アプリケーションを侵害できることを意味します。 攻撃者は、暗号通貨マイナーをインストールしたり、アプリケーションから機密データを抽出したりするなど、さまざまな方法でこれを悪用する可能性があります。

脆弱性、悪用、緩和、修復は常に混乱を招きます。お客様に専門知識とサポートを提供するために最善を尽くすことが F5 の使命です。 F5 の各チームは、すでに過負荷になっているアプリケーション チームとセキュリティ チームがこの重大な業界の脅威を軽減できるように、ツールとガイダンスに積極的に取り組んでいます。

当社は F5 製品およびサービスを評価した結果、現在の情報に基づいて、BIG-IP、NGINX、Silverline、Volterra、Threat Stack 製品はこれらの問題の影響を受けないことを確認しました。 F5 マネージド サービスについては、通常の通信チャネルを通じてお客様に連絡しています。 AskF5 のセキュリティ アドバイザリには、Log4j の脆弱性に対する当社製品と緩和策に関する最新情報が常に掲載されます。

F5 製品とサービスを活用して Log4j の脆弱性を軽減することは、これらの CVE が環境に及ぼすリスクを軽減するための迅速かつ効果的な手段です。 長期的な修復のために、お客様とその開発チームに、脆弱な Log4j ライブラリをアプリケーションからアップグレードするか、不要になった場合は削除することを強くお勧めします。

当社の製品およびサービスのポートフォリオ全体にわたって包括的かつ応答性の高いセキュリティ ソリューションを通じてサポートを提供している方法については、以下で詳しく説明します。

F5 セキュリティ インシデント対応チーム (SIRT)

攻撃を受けている場合、または脆弱性の露出が懸念される場合は、F5 サポートに連絡して、 F5 SIRTへのエスカレーションをリクエストしてください。 このチームは、F5 ソフトウェアおよびシステムのパッチ適用から、攻撃や脆弱性の露出を軽減するための構成や iRule のサポートまで、あらゆることについて 24 時間 365 日対応でガイダンスを提供します。

BIG-IP Advanced WAF

F5 は、Log4j の脆弱性に対する既知の攻撃ベクトルをブロックする BIG-IP Advanced WAF および ASM のシグネチャ セットをリリースしました。 本稿執筆時点では、F5 脅威研究チームによる合計 9 つの署名が利用可能であり、そのうち 2 つは最初の CVE 公開から数時間以内に利用可能になりました。 バイパスの試みに対する保護を強化するために、シグネチャを継続的に更新しています。最新の攻撃シグネチャ更新 (ASU) パッケージがインストールされていることを確認してください。

既存の BIG-IP Advanced WAF (または ASM) ポリシーを介してこれらの脆弱性を軽減する方法の詳細については、このセキュリティ アドバイザリを参照してください。

BIG-IP iルール

Advanced WAF または ASM 機能を使用していない F5 BIG-IP のお客様の場合、F5 iRule をアプリケーションに適用して、特定の CVE をターゲットとする問題のあるトラフィックを検出、記録、およびドロップできます。 当社の最初のセキュリティ アドバイザリには、iRule の実装に関する詳細情報とガイダンスが記載されています。

NGINX App Protect

NGINX App Protect のお客様は、BIG-IP Advanced WAF のお客様と同時にシグネチャの更新を受け取り、F5 プラットフォームに関係なく一貫したアプリケーション セキュリティを確保します。 NGINX App Protect 構成を介して関連する脆弱性を軽減するには、署名が更新されていることを確認し、このドキュメントを確認し、WAF ポリシーで「サーバー側コード インジェクション」攻撃タイプが有効になっていることを確認してください。 追加の背景情報については、最近公開されたブログ投稿をご覧ください。

ヴォルテッラWAF

NGINX App Protect や BIG-IP Advanced WAF と同様に、当社の Volterra WAF プラットフォームは、Log4j の脆弱性に関連する露出をさらに軽減するために更新された署名を受け取りました。 これらのシグネチャは現在、デフォルトの WAF ポリシーに含まれているため、Volterra WAF のお客様はこの脅威を軽減するために追加のアクションを実行する必要はありません。

F5 シルバーライン

F5 Silverline チームは、顧客のアプリケーションが該当する脆弱性から保護されるように、必要な緩和策を実施しました。 F5 Silverline SOC は脅威を継続的に監視し、脅威調査チームおよびお客様と連携して必要な緩和策と保護策を適用します。 Silverline チームは、お客様自身の AppSec チームの延長として機能し、お客様に代わって 24 時間 365 日体制で業務を行います。

Silverline の構成について具体的な質問がある場合は、SOC( support@f5silverline.com )にお問い合わせください。Silverline サービスの詳細については、 https://www.f5.com/products/security/silverlineをご覧ください。

脅威スタック

F5 は最近 Threat Stack を買収し、Threat Stack サービスが提供する重要な検査、検出、レポート機能を歓迎しています。 Threat Stack サービスには、ルートとしてのサービスの起動、シェルからの実行サービス、エスカレーションの試みなど、Log4j の侵害を示す可能性のあるいくつかの検出ルールがすでに含まれています。 追加の詳細については、こちらのブログ投稿をご覧ください。

現在の Log4j の脅威からアプリケーションを保護するだけでなく、異常なアクティビティを検出し、コンプライアンスを確保し、包括的なアプリケーション インサイトを取得するのに役立つ Threat Stack サービスにご興味がある場合は、現在の F5 営業担当者にお問い合わせいただくか、https: //www.threatstack.comにアクセスしてください。

シェイプセキュリティ

脆弱性を悪用する試みのほとんどは、自動偵察から始まります。 これを念頭に置くと、Shape Security の AI 駆動型ボット防御は、自動スキャンを排除し、インターネットに接続された Web アプリケーションでこの脆弱性を発見しようとする攻撃者の難易度を高めるための重要な第一線の防御となります。 Shape AI Cloud は、ボットネットを操作する攻撃者の絶えず変化する戦術に対応するために、ボット駆動型の自動攻撃にほぼリアルタイムで適応することを可能にします。 Shape の詳細については、https: //www.f5.com/products/security/shape-security をご覧ください。

最新情報を入手する

F5 の緩和策に関する最新情報については、 CVE-2021-44228CVE-2021-4104CVE-2021-45046に関するセキュリティ アドバイザリをご覧ください。 さらに詳しい情報については、次のリソースを参照してください。

その他の F5 ブログ

F5 Labs

DevCentral

NGINX とは

脅威スタック

当社は、関連する脆弱性に関する最新情報を引き続きお客様に提供し、上記のリソースへのリンクを追加していきます。 さらに、顧客はソフトウェアのリリース、セキュリティ警告、その他の重要な更新に関する通知を購読できます。

_______

スコット・アルトマン・シニア著 F5 グローバル セキュリティ ソリューション アーキテクト ディレクター