※本記事の内容は、2021年12月13日現在の公開情報をもとに記載しております。お使いの製品でIPS機能等が利用できるライセンスであるか、シグネチャ等のアップデート方法や具体的な検知・防御の設定方法については購入元の代理店様や運用・保守ベンダー様へお問い合わせください。
目次
Log4jの脆弱性についての概要
Javaの著名なロギング用ライブラリである「Apache Log4j」に外部から任意のコードを実行(RCE)される可能性のある脆弱性(通称:Log4shell)が報告されました。
Javaで作成された多くのプログラムで利用されており、また利用しているフレームワークやライブラリ等で間接的に利用されている可能性もあり、影響が広範囲に及ぶと考えられます。
また、すでに攻撃も観測されているという情報もあり注意が必要です。
JPCERT/CCからの注意喚起
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
(2021/12/15追記)
CVE-2021-44228の対応版としてリリースされたLog4j 2.15.0には、デフォルト以外の特定の設定においてサービス妨害(DoS)の脆弱性(CVE-2021-45046)が存在することが報告され、対策が行われた2.16.0が公開されております。
2.16.0では、さらにLookup機能が削除され、JNDIがデフォルトで無効となっておりますので、2.16.0への更新をおすすめします。
(2021/12/18追記)
CVE-2021-45046は、カテゴリがサービス妨害(DoS)から、外部から任意のコードを実行(RCE)に変更されCVSSのスコアが9.0に更新されました。
Log4j 2.17.0がリリースされました。2.16.0での修正は不十分であり、サービス妨害(DoS)の脆弱性(CVE-2021-45105)が存在します。
(2021/12/29追記)
Log4j 2.17.0に新たに任意のコードを実行(RCE)される可能性のある脆弱性(CVE-2021-44832)が報告されました。
対策版としてLog4j 2.17.1がリリースされました。
各UTM/IPS/WAF/ファイアウォールの対応状況について
難読化等を行うことで検知・防御を回避できるとの情報もあり、根本的な対策としては、本脆弱性を修正したバージョンへの更新となりますが、脆弱性の緩和策、一時的な対策として各UTM/IPS/WAF/ファイアウォール等での防御も有効であると考えており、当グループ調査に基づく各メーカの対応状況をまとめました。
※SSL/TLS通信内における検知・防御には復号化も併せて行う必要があります。
Palo Alto Networks
Palo Alto Networks社の対応状況は以下の通りです。
- Palo Alto Networks製品への影響
- CVE-2021-44228 Informational: Impact of Log4j Vulnerability CVE-2021-44228
影響を受けるプロダクトは現時点で無いようです。(2021/12/16追記)
PAN-OS for Panorama 9.0.*, 9.1.*, 10.0.*において、内部で利用されているElasticsearchが影響を受けるとの発表がありました。8.1 および 10.1では影響のあるElasticsearchは利用されていないとのことです。
- 対応するシグネチャ(今後順次追加される可能性があります。)
- Apache Log4j Remote Code Execution Vulnerability(シグネチャID:91991,91994,91995,92001)
- Applications and Threatsのコンテンツ8498(2021/12/09リリース)以降で対応
- その後8499、84500で追加、更新中。
- Apache Log4j Remote Code Execution Vulnerability(シグネチャID:91991,91994,91995,92001)
- CVE-2021-44228 Informational: Impact of Log4j Vulnerability CVE-2021-44228
- 調査記事など
- Apache log4j Vulnerability CVE-2021-4428: Analysis and Mitigations (paloaltonetworks.com)
- 脅威インテリジェンスチーム「Unit 42」によるブログ。
- Apache log4j Vulnerability CVE-2021-4428: Analysis and Mitigations (paloaltonetworks.com)
Fortinet
Fortinet社の対応状況は以下の通りです。
- Fortinet製品への影響
- Apache log4j2 log messages substitution (CVE-2021-44228)
- FortiOS(FortiGateとFortiWiFi)には影響は無いようですが、一部影響を受けるプロダクトが存在し現在修正中とされています。詳細は上記リンクをご参照ください。
- Apache log4j2 log messages substitution (CVE-2021-44228)
- 対応するシグネチャ(今後順次追加される可能性があります。)
- Apache.Log4j.Error.Log.Remote.Code.Execution(シグネチャID:51006)
-
- IPS 19.215(2021/12/10リリース)以降で対応
- IPS機能はFortiGate、FortiADC、FortiProxy等で対応。
- IPS 19.215(2021/12/10リリース)以降で対応
-
- Apache.Log4j.Error.Log.Remote.Code.Execution(シグネチャID:51006)
- 調査記事など
- Log4j2 Vulnerability
- Fortinet社のOutbreak Alerts。
- Log4j2 Vulnerability
F5 Networks
F5 Networks社の対応状況は以下の通りです。
- F5 Networks製品への影響
- K19026212: Apache Log4j2 Remote Code Execution vulnerability CVE-2021-44228
- 影響を受けるプロダクトは現時点で無いようです。
- K19026212: Apache Log4j2 Remote Code Execution vulnerability CVE-2021-44228
- 対応するシグネチャ(今後順次追加される可能性があります。)
- BIG-IP ASM/Advanced WAF and NGINX App Protect
- JNDI Injection (200104768 & 200104769)
- 2021/12/10以降のシグネチャアップデートで対応。
既存で一般的なJNDIインジェクションに対応するシグネチャあり。 - iRuleによる緩和策については、上記K19026212をご参照ください。
- 2021/12/10以降のシグネチャアップデートで対応。
- JNDI Injection (200104768 & 200104769)
- BIG-IP ASM/Advanced WAF and NGINX App Protect
SonicWall
SonicWall社の対応状況は以下の通りです。
- SonicWall製品への影響
-
- APACHE LOG4J REMOTE CODE EXECUTION VULNERABILITY - "LOG4SHELL" CVE-2021-44228
- 現時点では一部影響調査中(Under Review)のプロダクトがありますが、調査中以外のものでは影響は無いようです。
- APACHE LOG4J REMOTE CODE EXECUTION VULNERABILITY - "LOG4SHELL" CVE-2021-44228
-
- 対応するシグネチャ(今後順次追加される可能性があります。)
- Apache Log4j2 JNDI Log Messages Remote Code Execution(シグネチャID:2307)
- 2021/12/10アップデート以降で対応。
- Apache Log4j2 JNDI Log Messages Remote Code Execution(シグネチャID:2307)
WatchGuard Technologies
WatchGuard Technologies社の対応状況は以下の通りです。
- WatchGuard Technologies製品への影響
Critical RCE Vulnerability in Log4J2
調査を継続中とのことですが、現時点でFirebox, WatchGuard System Manager and Dimensionにおいて影響を受けるプロダクトは無いようです。 - 対応するシグネチャ(今後順次追加される可能性があります。)
- WEB Apache log4j Remote Code Execution -1.u (CVE-2021-44228) (シグネチャID:1230268)
WEB Apache log4j Remote Code Execution -1.h (CVE-2021-44228) (シグネチャID:1230269)
WEB Apache log4j Remote Code Execution -2.u (CVE-2021-44228) (シグネチャID:1230274)
WEB Apache log4j Remote Code Execution -2.h (CVE-2021-44228) (シグネチャID:1230275)- シグネチャバージョン18.188以降、4.1232以降で対応
- WEB Apache log4j Remote Code Execution -1.u (CVE-2021-44228) (シグネチャID:1230268)
- 調査記事など
- 「WatchGuard Technologies製品への影響」に記載したリンクをご参照ください。
A10 Networks
A10 Networks社の対応状況は以下の通りです。
- A10 Networks社製品への影響
- LOG4J - CVE-2021-44228, CVE-2021-45046
- 現時点では、A10 Thunderはじめ各製品影響はないとされています。
- LOG4J - CVE-2021-44228, CVE-2021-45046
- 対応するシグネチャ(今後順次追加される可能性があります。)
- 継続調査を行いaFleXによる緩和策について上記アドバイザリで更新すると発表しています。
その他
AWS WAF、Azure WAFにつきましては以下の通りです。
AWS WAF
AWSManagedRulesKnownBadInputsRuleSetにてシグネチャ追加済みと発表しています。
参考:Apache Log4j2 Issue (CVE-2021-44228)
Azure WAF
Microsoft Security Response Centerのブログ(下記参照)にて、WAFのマネージドルールの強化に取り組んでいると発表しています。
参考:Microsoft’s Response to CVE-2021-44228 Apache Log4j 2
(2021/12/15追記)
以下のガイダンスで、Default Rule Set (DRS) versions 1.0 and 1.1のルール:944240にて対応したの発表がありました。詳細については以下のリンクをご参照ください。
Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation
最後に
根本的な対策としては、脆弱性に対応したlog4jへのアップデートとなりますが、各UTMやWAFによる緩和についても一定の効果が得られると考えられますので、ご参考になれば幸いです。
また、外部への通信(アウトバウンド方向)をファイアウォール等で制御していれば、万が一本件の脆弱性を突いた攻撃を受けた場合の影響を緩和できる可能性もあります。
※本件は、外部からのコードの実行にldapが用いられることが確認されており、外部への不要なldap通信を遮断することが緩和策の一つになると考えられます。
これを機に、サーバからのアウトバウンド通信のファイアウォールについて見直してみることもおすすめします。
最後までお読みいただきありがとうございました!
皆様のお役にたてますと幸いです。
【更新履歴】
2021/12/13 新規公開
2021/12/13 誤字修正
2021/12/14 WatchGuard Technologies社の対応シグネチャについて記載
2021/12/15 CVE-2021-45046についての情報を追記およびAzure WAFの対応状況について更新
2021/12/16 Palo Alto Networks社のPanoramaへの影響および対応シグネチャID:92001を追加
2021/12/16 A10 Networks社について情報を追記
2021/12/18 CVE-2021-45046のCVSSスコア更新および2.17.0のリリースと新たに報告された脆弱性(CVE-2021-45105)を追加
2021/12/29 CVE-2021-44832について追加
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。
