Log4j を今すぐ軽減し、将来の悪用を阻止する方法

Log4j の脆弱性とは何ですか?

IT業界の多くの人々にとって、ここ数週間は厳しいものでした。 12 月 9^日、Log4j として知られる Javaapplicationsで使用される Apache Software Foundation の広く普及しているログ ライブラリに重大なゼロデイ脆弱性が発見され、発表されました。 何十万もの Web サイトやapplicationsがこのソフトウェアを使用してログ記録を実行し、開発者が Web サイトをデバッグしたり、applicationsや Web ページのその他の傾向を追跡したりできるようにしています。 推定されている Log4j フレームワークは数十万のオープンソース ソフトウェア プロジェクトで使用されています。 開発者は、既存の脆弱性が存在する可能性のある基礎コードを検査せずに、これらのオープンソース ツールからソフトウェアを構築することがよくあります。

Log4j の脆弱性と、それが攻撃者に実行を許可するエクスプロイトの種類について簡単にまとめると、次のようになります。

Log4jはビジネスに混乱をもたらす可能性が高い

Log4j が広く普及しているため、当初のCVE-2021-44228 (ニックネームは Log4Shell) は重大な脆弱性であると判断されました。 この脆弱性の重大性と、パッチ自体に脆弱性が含まれており、パッチを適用する必要があるという事実から、IT プロフェッショナルはしばらくの間、この脆弱性の影響に対処する必要がある可能性があります。 これに加えて、IT 担当者は Log4j のネストされた参照をチェックする必要がある (つまり、ソフトウェアで使用されているライブラリが Log4j ライブラリを参照しているかどうかを確認する必要がある) ため、Log4Shell によって連鎖的な影響が生じる可能性があります。 Log4j の脆弱性と Log4Shell が組織に及ぼす影響の全範囲を判断するのは難しい場合があります。 無料の脅威評価を受ける 組織が危険にさらされているのではないかと懸念している場合。

まだ行っていない場合、Log4j の影響を軽減するために組織が最初に行うべきことは PATCH です。 Log4j を実行しているサーバーにパッチを適用します。 Log4j を実行するライブラリを使用してソフトウェアにパッチを適用します。 とにかくパッチを当て続けてください!

組織がこれらの脆弱性を発見して修正するという重要かつ包括的なプロセスを継続する中で、攻撃者がすでに環境に侵入している場合は、Log4Shell エクスプロイトを使用した攻撃から身を守り、被害がさらに拡大するのを防ぐことが重要です。 さらに、1月4^日、米国 連邦取引委員会は、Log4j の重要性を強調し、Apache の Log4J の脆弱性を修正しない組織は法的措置を受ける可能性があるという通知を発行しました。

完全にパッチを適用したとしても、Log4j はこの種の脆弱性としては初めてのものではなく、最後でもないということを覚えておくことが重要です。 そのため、現在および将来の脆弱性に対して積極的に保護するとともに、攻撃者がシステムの脆弱性を悪用した場合にネットワークを保護する計画も立てておくことが重要です。 幸いなことに、緩和戦略の実装は比較的簡単です。

Log4j のような脆弱性を軽減する場合は、次の点に注意してください。

1. WAFを実装することで、Log4Shellやその他の脆弱性を利用した攻撃から組織を積極的に保護します。
2. 組織が攻撃を受けた場合、ネットワーク内で深刻な被害が発生する前に攻撃を阻止できるように安全策を講じます。
3. 脆弱性の影響範囲全体を判断するために監査を実施する
4. 監査を使用して、脆弱性を使用している、または参照しているすべてのコードにパッチを適用し、パッチが適用されていない露出が残らないようにします。

既知の攻撃ベクトルをブロックするシグネチャを使用して Log4j の脆弱性を軽減する

対処しなければ、サイバー攻撃者は何千もの Web サイトやオンライン アプリをあっという間に乗っ取り、機密データを盗むことができます。 最も効果的な解決策は、最新バージョンの Log4j を使用してアプリ コードにパッチを適用し、Webapplicationファイアウォール (WAF) を使用して悪意のあるリクエストをブロックすることです。

また、脆弱なサーバーとソフトウェア スタックに Log4j の脆弱性に対する必要なパッチをインストールしながら、組織を Log4Shell 攻撃から保護する必要がある場合もあります。 ここでも WAF が役立ちます。

F5 WAF ソリューションはすべて F5 の一貫性のある堅牢な WAF エンジン上に構築されており、セキュリティ ニーズに最適な導入モデルと消費モデルで利用可能で、インフラストラクチャにおける Apache Log4j リモート コード実行 (RCE) 脆弱性の影響を軽減するのに役立ちます。 F5 は、強力な WAF エンジンを使用してapplicationを保護するための 4 つのオプションを提供しています。

1. F5 アドバンスド WAF
2. NGINX アプリ保護 WAF
3. シルバーラインWAF
4. ヴォルテッラWAF

F5 は、Log4j の脆弱性に対する既知の攻撃ベクトルをブロックする一連のシグネチャをリリースしました。 F5 Advanced WAFとNGINX App Protect WAF はどちらも、Java Naming and Directory Interface (JNDI) インジェクション固有のシグネチャと汎用 JNDI インジェクション シグネチャを使用して、悪用の試みをブロックできます。 これらのシグネチャは、脅威の継続的な調査と既知の WAF バイパスに基づいて更新され、Log4Shell 攻撃を効果的に検出するための新しいルールが追加されたサーバー側コード インジェクション シグネチャ セットの一部です。 このようにして、F5 WAF は「仮想パッチ」を可能にします。 ここを訪問 BIG-IP および NGINXapplicationセキュリティ製品の緩和サポート。

F5 Advanced WAF は、OWASP Top 10 に対する防御をはるかに超える高度な保護を提供し、従来のアプリのきめ細かな制御を自己管理およびカスタマイズしたいセキュリティ重視の組織に最適です。 すでに F5 BIG-IP の顧客である場合は、業界で最も強力な WAF である F5 WAF エンジンがネットワーク上にすでに導入されています。 特に F5 BEST ライセンシーの場合、BIG-IP でAdvanced WAF のライセンスを取得すると、新しい脅威や進行中の脅威の軽減を自動化し、セキュリティの有効性を高めて保護を強化し、機械学習と動作分析を活用してノータッチ アプリ保護を実現できます。 

Agile DevOps チーム向けに構築され、最新のインフラストラクチャまたは Kubernetes 環境を保護するように設計されたセルフマネージド WAF ソリューションとしては、NGINX App Protect WAF がお客様のニーズに最適です。 NGINX App Protect WAF の詳細については、「NGINX による log4j 脆弱性の軽減」ブログをご覧ください。

Advanced WAFや NGINX App Protect WAF と同様の保護を享受したいが、エクスプロイトをすぐに緩和するために手間のかからないアプローチが必要または好ましい場合は、F5 のクラウドベースのSilverline WAFなどのマネージド サービスが最適です。 Silverline WAF は F5 のプレミアのフルマネージド WAF サービスであり、F5 の SOC のセキュリティ専門家によってサポートされ、ハイブリッドまたはマルチクラウド環境でapplicationsを保護するための包括的なソリューションを提供します。F5 Silverline SOC チームは、脅威を継続的に監視し、Log4j などの脆弱性に対する必要な緩和策と保護を適用することで、必要な緩和策を実装しています。

当社のVolterra WAFプラットフォームも、Log4j の脆弱性に関連するリスクをさらに軽減するために、更新されたシグネチャを受け取りました。 これらのシグネチャは現在、デフォルトの WAF ポリシーに含まれているため、Volterra WAF のお客様は Log4Shell 攻撃を軽減するために追加のアクションを実行する必要はありません。 Volterra WAF は、SaaS ベースの展開を備えたクラウドネイティブ WAF を探しているユーザーにとって最適な選択肢となります。

F5 WAF の製品とサービス (F5 Advanced WAF、NGINX App Protect WAF、F5 Silverline WAF、Volterra WAF) は、applicationsを最適に処理して保護し、アプリケーション層の脅威から防御するために必要な場所で、連携して使用および展開できます。

さらに、高度な攻撃キャンペーンは単一の攻撃からは検出が困難です。 F5 Threat Campaigns は、F5 Advanced WAFおよび/または NGINX App Protect WAF で利用可能で、現在の攻撃キャンペーンを正確に検出し、プロアクティブにブロックすることで、高度な攻撃からアプリと IT インフラストラクチャを保護します。 F5 WAF はそれ自体が重要なセキュリティ管理ポイントとして機能しますが、脅威インテリジェンスにより、単一の攻撃インシデントをより広範囲で高度なキャンペーンに関連付けることができるため、ベースライン WAF セキュリティ ポリシーを回避する可能性のある標的型攻撃から防御できます。 脅威キャンペーンをAdvanced WAFおよび NGINX App Protect WAF の展開に簡単に追加して、セキュリティを自動化し、脅威を検出してブロックできます。

侵害が発生した場合にLog4Shell攻撃に対する防御を確立する

Log4j を使用するライブラリの数を考慮すると、組織に対する脆弱性の影響の全範囲をすぐに判断するのは難しい場合があります。 この間、残念ながら、あなたは搾取される危険にさらされる可能性があります。

たとえば、攻撃者は不正なエンドポイントへのリクエストを作成し、マルウェアを取得して展開する可能性があります。 または、攻撃者がサーバーにリクエストを作成し、侵害されたサーバーが通常の操作に反するハッカーからのコマンドを実行し、組織を危険にさらす可能性があります。

たとえ攻撃者がすでに脆弱性を悪用していたとしても、選択肢がなくなるわけではありません。 幸いなことに、攻撃者が Log4Shell を悪用したリモート コードを実行した後は、送信サーバー トラフィックを検査することで、ネットワーク内でのエクスプロイトの拡散を阻止できます。

ネットワークのエッジに、暗号化されたトラフィック パケットを復号化し、検査できるソリューションがあるとします。 その場合、Log4j の脆弱性によって拡散したマルウェアや悪意のあるトラフィックを検出し、さらなる被害が発生する前にブロックすることができます。 一例としては、コマンドアンドコントロール サーバーにアクセスして、さらなる攻撃を開始したり、データを盗み出したりすることが挙げられます。 サーバーは通常インターネットに接続されているため、サーバー トラフィックは TLS 経由で環境を通過します。 したがって、暗号化されたサーバー トラフィックを検査することは、すでに侵害され脆弱な環境の拡散を抑制し、阻止するために重要です。

F5 SSL Orchestratorのような製品を使用すると、暗号化されたトラフィックを可視化し、復号化された送信分析を実行して暗号化された脅威を阻止できます。 SSLオーケストレーターは、ネットワークを通過するトラフィック、さらにはサーバートラフィックを復号化し、そのトラフィックをサードパーティの検査サービス（NGFW、WAF、SWG、IPS、DLPなど）に送信します。これにより、トラフィックを許可、ブロック、またはバイパスして、暗号化されたマルウェアがネットワーク全体に広がらないようにし、Cに悪意のあるトラフィックが送信されるのを防ぎます。² (コマンド アンド コントロール) サーバーまたは盗み出されたデータが環境外に漏れる可能性があります。 SSL Orchestrator は、SSL/TLS インフラストラクチャを強化し、SSL/TLS 暗号化トラフィックを可視化するセキュリティ ソリューションを提供し、既存のセキュリティ投資を最適化して最大限に活用して、ネットワークを連鎖攻撃から保護することを目的として設計および構築されています。

結論

Log4j は、深刻かつ広範囲に及ぶ最初の脆弱性ではありませんし、最後の脆弱性でもありません。 Log4j の悪用から身を守ることは重要ですが (本稿の公開時点でもまだ進行中です)、次に避けられない重大な脆弱性から資産を保護するために、applicationとネットワークのセキュリティを強化することも同様に重要です。

次に重大な脆弱性が発生したときに備えて、次の 4 つの手順に従う必要があります。 理想的には、脆弱性が発表される前に WAF を導入して、Log4Shell などの既知の攻撃ベクトルからアプリを保護します。 さらに、理想的には脆弱性が発表される前に、ネットワークを保護するソリューションを用意しておくと、パッチ適用中に攻撃を受けて攻撃者がネットワークに侵入できた場合でも、ハッカーがエクスプロイトを使用してサーバーを制御したり、データを盗み出したりすることを防ぐことができます。 脆弱性が発表された後、次の行動は、脆弱性の露出を判断することです。 (F5 の無料脅威評価が役立ちます!) 次はパッチ、パッチ、パッチ！ これら 4 つの戦略を実施しておけば、次の脆弱性が発生したときに備えることができます。

F5 は、攻撃者が脆弱性を悪用するのを防ぎ、悪用が成功した後でも環境がさらなる損害や侵害から保護される包括的な緩和計画の構築をお手伝いします。

Log4j の脆弱性やその他の同様の脆弱性の軽減についてさらに質問がある場合は、F5 の営業チームにお問い合わせいただくか、 sales@f5.comまでお問い合わせください。 F5 が Log4j にどのように対応するかについて最新情報を入手するには、新しい情報が利用可能になると更新される当社のブログをフォローしてください。

現在攻撃を受けており、緊急の支援が必要な場合は、セキュリティ オペレーション センター (SOC) (866) 329-4253 または +1 (206) 272-7969 までお電話ください。 国際電話番号については、 https://www.f5.com/attackをご覧ください。 既存の BIG-IP のお客様は、セキュリティ インシデント対応チームに問い合わせることができます。