PSIRT ブログ

CVE-2021-44228 - Apache Log4j の脆弱性

投稿者 Carl Windsor | 2021年12月13日

サマリー:Apache Log4j の脆弱性

Log4j は、Apache 内の Java ベースのロギング監査フレームワークです。Apache Log4j2 2.14.1 以下には、リモートコード実行の脆弱性があり、攻撃者はこの脆弱性を利用してマシンを完全に制御することが可能です。

このモジュールは、他のソフトウェアの必要環境に含まれているため、多くの製品に含まれている可能性があり、悪用が容易です。直ちに、システムのインベントリーを作成し、改善の優先順位をつけるために、行動を起こすことが重要です。

影響を受けるバージョン

  • Apache Log4j 2.x <= 2.15.0-rc1
  • CVSS: 10 (クリティカル)

概要:Apache Log4j の脆弱性

数日前まで、ほとんどの人はLog4j2ソフトウェアについて全く知らなかったでしょう。しかし、このあまり知られていないモジュールは、他の大規模なソフトウェアで一般的に使用されているため、様々な製品や場所に存在しています。スウェーデンのオンラインゲーム開発会社であるMojang Studiosは、彼らのユーザーであるMinecraftのサーバーが侵害されたことを受けて、初期の段階で警鐘を鳴らしていました。

この脆弱性は、Apache Struts2、Apache Solr、Apache Druid、Apache Flinkなど、Apple、Amazon、Google、Twitterなど、フォーティネットも含む数多くの企業で利用されているApacheフレームワークのデフォルト設定に影響を与えるものです。

この脆弱性は、特定のJNDI文字列をLog4jソフトウェアに送信するだけで、図のように悪意のあるソフトウェアのインストールを誘発します。

この問題は悪用されやすく、このソフトウェアが広く利用されていることから、複数の攻撃ベクトルが存在することになります。今後数ヶ月の間に、さらに多くの問題が発覚することが予想されます。FortiGuard Labsでは、すでに検出された攻撃の数が急速に増加しています。

北米とブラジルのデバイスに集中していますが、これは現時点で特にターゲットにされているというよりも、これらの国の規模が関係していると思われます。

フォーティネットによる問題の減災

フォーティネットは、このインシデントに対してアウトブレイクアラートを作成し、お客様が IOC(Indicators of Compromise:侵害指標)を追跡し、フォーティネット セキュリティ ファブリックを使用してこの問題に対する保護を適用できるようにしました。

この攻撃を防御するために、フォーティネットのセキュリティファブリック全体で、以下のような保護を提供しています。

  • FortiWeb/FortiGate IPS:WebアプリケーションファイアウォールのシグネチャとIPSを適用して、脆弱性を検出し、悪用を防止します。
  • FortiGate ファイアウォール:ファイアウォールポリシーとマイクロセグメンテーションを適用し、許可されたデバイスが許可されていないリソースに通信するのを防止します。
  • FortiEDR:脆弱性を悪用して配信されるペイロードを監視し、保護します。
  • FortiCWP:CI/CDパイプラインを保護し、コンテナイメージにLog4j2脆弱性が存在することを検出します。

保護の詳細

IPSシグネチャによる保護(FortiOS)

フォーティネットは、この脅威に対処するため、IPSシグネチャ Apache.Log4j.Error.Log.Remote.Code.Execution(VID 51006)をリリースしました。このシグネチャは、IPS パッケージ (バージョン 19.215) で最初にリリースされました。これは緊急リリースであるため、このシグネチャのデフォルトのアクションはパスに設定されていることに注意してください。必要に応じてアクションを変更してください。

IPS DB バージョン 19.217 では、このシグネチャはデフォルトでドロップするように設定されています。

IPSシグネチャによる保護(FortiADC & FortiProxy)

FortiADCは、Log4j(バージョン19.215)を減災するためのIPSシグネチャをサポートしています。
FortiProxy は Log4j (バージョン 19.215) を減災するための IPS シグネチャをサポートしています。

Webアプリケーションファイアウォール(FortiWeb & FortiWeb Cloud)

この脆弱性を防ぐためのWebアプリケーションシグネチャは、データベース 0.00305 で初めて追加され、最近のリリースではさらにカバレッジを広げるために更新されています。

影響を受けるフォーティネット製品

フォーティネットで影響を受ける製品については、フォーティネットのPSIRTアドバイザリで詳細をご確認ください。このアドバイザリは、減災策が実施されたり、パッチが発行されたりすると更新されます。

タグ: