Apache Log4j2の脆弱性に対する防御（CVE-2021-44228）

12月9日に公表されて以来、世界中のセキュリティチームが、Apache Log4j2セキュリティの脆弱性 (CVE-2021-44228)によってもたらされる脅威を理解し、そのリスクの度合いを特定し、緩和策を講じるために、24時間体制で取り組んでいます。Log4Shellとも呼ばれるこの脆弱性について多くのことが書かれていますが、要するにこれはリモートコード実行 (Remote Code Execution: RCE)の脆弱性です。攻撃者は特定のデータを脆弱なアプリケーションに送信し、標的となるアプリケーションが危険にさらされる一連のアクションを引き起こす可能性があります。攻撃者は、これをさまざまな方法で悪用する可能性があります。例えば、暗号通貨マイナーをインストールしたり、アプリケーションから機密データを抜き出したりします。

脆弱性とその悪用、それらの防御および修復は常にサービスへの影響を伴うものであり、お客様に専門知識とサポートを提供するためにできることを実行するのがF5の使命です。すでに過負荷になっているアプリケーションおよびセキュリティチームが、この重大な業界の脅威を軽減するのに役立つツールとガイダンスに、F5の横断的なチームが積極的に取り組んでいます。

私達はF5製品とサービスを評価し、現在の情報に基づいてBIG-IP、NGINX、Silverline、VolterraおよびThreatStackの各製品が、この問題に対して脆弱ではないと判断しました。F5マネージドサービスについては、通常の連絡チャネルを通じてお客様に連絡しています。AskF5のセキュリティアドバイザリには、Log4j2の脆弱性に対する当社の製品と緩和策に関する最新情報が掲載されています。

• K19026212: Apache Log4j2 Remote Code Execution vulnerability CVE-2021-44228
• K24554520: Apache Log4j Remote Code Execution vulnerability CVE-2021-4104
• K32171392: Apache Log4j2 vulnerability CVE-2021-45046

F5の製品やサービスを活用してLog4jの脆弱性を緩和することは、これらのCVEがお客様の環境にもたらすリスクを軽減するための迅速かつ効果的な手段です。長期的な対策としては、脆弱性のあるLog4jライブラリをアップグレード、もしくはLog4jライブリが不要な場合はアプリケーションから削除することを、お客様とその開発チームにお勧めします。

製品とサービスのポートフォリオ全体で、包括的で応答性の高いセキュリティソリューションを通じてF5がサポートする方法の詳細は、以下の通りです。

F5 Security Incident Response Team (SIRT)

攻撃を受けている場合、または脆弱性の危険性が懸念される場合は、F5サポートに連絡して、F5 SIRTへのエスカレーションをリクエストしてください。このチームは24時間年中無休で対応しており、F5ソフトウェアとシステムのパッチ適用から、攻撃や脆弱性の危険性を軽減するための設定とiRuleの支援まで、すべてのガイダンスを提供します。

BIG-IP Advanced WAF

F5は、BIG-IP Advanced WAFおよびASM向けに、Log4j2脆弱性に対する既知の攻撃ベクターをブロックする一連のシグネチャを公開しました。本ブログ執筆時点で、F5の脅威研究チームが提供する合計9つのシグネチャが利用可能です。このうち2つは、CVEの公開後わずか数時間で利用可能となっています。
F5の脅威研究チームが提供するシグネチャは、継続的に更新されており、バイパス攻撃に対する保護機能が強化されていますので、最新の攻撃シグネチャアップデート（Attack Signature Update、略称ASU）パッケージをご利用ください。
既存のBIG-IP Advanced WAF（またはASM）ポリシーを使用してこの脆弱性を緩和する方法については、セキュリティアドバイザリで詳しく説明されています。

BIG-IP iRule

Advanced WAFまたはASM機能を使用していないF5 BIG-IPのお客様は、F5 iRuleをアプリケーションに適用して、この特定のCVEを対象とした問題のあるトラフィックを検出、記録、および削除することができます。
このセキュリティアドバイザリには、iRuleを実装するための詳細な情報とガイダンスが記載されています。

Volterra WAF

VolterraのWAFはNGINX App ProtectやBIG-IP Advanced WAFと同様に、Log4j2の脆弱性に関連するシグネチャを既に実装しており、デフォルトのWAFポリシーに含まれています。従って、この脅威に対するVolterra WAFユーザが取る追加のアクションは何もありません。

F5 Silverline

F5 Silverlineチームは、お客様のアプリケーションがこの脆弱性から保護されるように必要な緩和策を実装しました。
F5 Silverline SOCは、継続的に脅威を監視しており、F5の脅威研究チームやお客様と連携して、必要な緩和策や保護策を適用します。Silverlineチームは、お客様のアプリケーションセキュリティチームの一員として、24時間365日活動します。
Silverlineの設定に関する具体的なご質問は、SOC（support@f5silverline.com）までお問い合わせください。また、Silverlineサービスの詳細については、https://www.f5.com/products/security/silverline をご覧ください。

Threat Stack

F5は最近ThreatStackを買収し、Threat Stackサービスが提供する重要な検査、検出、およびレポート機能を受け入れています。Threat Stackサービスにはroot権限でのサービス起動、シェルから実行されるサービス、エスカレーションの試行など、Log4j2の侵害を示す可能性のあるいくつかの検出ルールが、すでに含まれています。
Log4j2の脅威からアプリケーションを保護し、異常なアクティビティを検出し、コンプライアンスを確保して包括的なアプリケーションの洞察を得るのに役立つ、脅威スタックサービスに関心がある場合は、F5営業担当者に連絡するか、https://www.threatstack.com/ にアクセスしてください。

Shape Security

脆弱性を悪用しようとする試みのほとんどは、自動化されたBotによる偵察から始まります。
この点を考慮すると、Shape SecurityのAI駆動のボット防御はこれらの自動スキャンを排除し、インターネットに面したウェブ・アプリケーションが持つ今回の脆弱性を発見しようとする攻撃者の活動の難易度を高める重要な役割を果たします。
Shape AI Cloudは、Botnetを運用する攻撃者の刻々と変化する戦術をキャッチアップしているため、Botによる自動攻撃にほぼリアルタイムで対応することができます。
Shape Securityの詳細については、https://www.f5.com/products/security/shape-security を参照してください。

NGINX App Protect

NGINX App Protect のお客様は、BIG-IP Advanced WAF のお客様と同時にシグネチャーの更新を受けることができ、F5 プラットフォームに関係なく一貫したアプリケーションセキュリティを確保することができます。NGINX App Protectの設定によってこの脆弱性に対する防御を行う場合には、シグネチャが更新されていることを確認し、このドキュメントを読んで、WAFポリシーで「Server Side Code Injection」攻撃に対する機能がが有効になっていることを確認してください。その他の情報は、最近公開されたブログ記事でご覧いただけます。

最新情報へのアクセス (Staying in the Loop)

F5の緩和策に関する最新情報については、セキュリティアドバイザリにアクセスしてください。 加えて、以下で詳細を学ぶことができます。

• F5 Labs: Explaining the widespread Log4j vulnerability
• DevCentral: DC Connects live show on Log4j2 vulnerability
• NGINX: Mitigating the Log4j vulnerability with NGINX

F5は今後もこの脆弱性に関する最新情報をお客様に提供し、上記リソースへのリンクを追加していきます。それらに加えて、ソフトウェアリリース、セキュリティアラートおよびその他の重要な更新に関する通知をサブスクライブすることもできます。