NW機器

【2021/12/29更新】Log4jの脆弱性(CVE-2021-44228)に対する各UTM/IPS/WAF/ファイアウォールの対応状況について

※本記事の内容は、2021年12月13日現在の公開情報をもとに記載しております。お使いの製品でIPS機能等が利用できるライセンスであるか、シグネチャ等のアップデート方法や具体的な検知・防御の設定方法については購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

Log4jの脆弱性についての概要

Javaの著名なロギング用ライブラリである「Apache Log4j」に外部から任意のコードを実行(RCE)される可能性のある脆弱性(通称:Log4shell)が報告されました。
Javaで作成された多くのプログラムで利用されており、また利用しているフレームワークやライブラリ等で間接的に利用されている可能性もあり、影響が広範囲に及ぶと考えられます。
また、すでに攻撃も観測されているという情報もあり注意が必要です。

JPCERT/CCからの注意喚起
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

(2021/12/15追記)
CVE-2021-44228の対応版としてリリースされたLog4j 2.15.0には、デフォルト以外の特定の設定においてサービス妨害(DoS)の脆弱性(CVE-2021-45046)が存在することが報告され、対策が行われた2.16.0が公開されております。
2.16.0では、さらにLookup機能が削除され、JNDIがデフォルトで無効となっておりますので、2.16.0への更新をおすすめします。

(2021/12/18追記)
CVE-2021-45046は、カテゴリがサービス妨害(DoS)から、外部から任意のコードを実行(RCE)に変更されCVSSのスコアが9.0に更新されました。

Log4j 2.17.0がリリースされました。2.16.0での修正は不十分であり、サービス妨害(DoS)の脆弱性(CVE-2021-45105)が存在します。

(2021/12/29追記)
Log4j 2.17.0に
新たに任意のコードを実行(RCE)される可能性のある脆弱性(CVE-2021-44832)が報告されました。
対策版としてLog4j 2.17.1がリリースされました。

各UTM/IPS/WAF/ファイアウォールの対応状況について

難読化等を行うことで検知・防御を回避できるとの情報もあり、根本的な対策としては、本脆弱性を修正したバージョンへの更新となりますが、脆弱性の緩和策、一時的な対策として各UTM/IPS/WAF/ファイアウォール等での防御も有効であると考えており、当グループ調査に基づく各メーカの対応状況をまとめました。
※SSL/TLS通信内における検知・防御には復号化も併せて行う必要があります。

Palo Alto Networks

Palo Alto Networks社の対応状況は以下の通りです。

Fortinet

Fortinet社の対応状況は以下の通りです。

  • Fortinet製品への影響
  • 対応するシグネチャ(今後順次追加される可能性があります。)
    • Apache.Log4j.Error.Log.Remote.Code.Execution(シグネチャID:51006)
        • IPS 19.215(2021/12/10リリース)以降で対応
          • IPS機能はFortiGate、FortiADC、FortiProxy等で対応。
  • 調査記事など

F5 Networks

F5 Networks社の対応状況は以下の通りです。

  • F5 Networks製品への影響
  • 対応するシグネチャ(今後順次追加される可能性があります。)
    • BIG-IP ASM/Advanced WAF and NGINX App Protect
      •  JNDI Injection (200104768 & 200104769)
        • 2021/12/10以降のシグネチャアップデートで対応。
          既存で一般的なJNDIインジェクションに対応するシグネチャあり。
        • iRuleによる緩和策については、上記K19026212をご参照ください。

SonicWall

SonicWall社の対応状況は以下の通りです。

  • SonicWall製品への影響
  • 対応するシグネチャ(今後順次追加される可能性があります。)
    • Apache Log4j2 JNDI Log Messages Remote Code Execution(シグネチャID:2307)
      • 2021/12/10アップデート以降で対応。

WatchGuard Technologies

WatchGuard Technologies社の対応状況は以下の通りです。

  • WatchGuard Technologies製品への影響
    Critical RCE Vulnerability in Log4J2
    調査を継続中とのことですが、現時点でFirebox, WatchGuard System Manager and Dimensionにおいて影響を受けるプロダクトは無いようです。
  • 対応するシグネチャ(今後順次追加される可能性があります。)
    • WEB Apache log4j Remote Code Execution -1.u (CVE-2021-44228) (シグネチャID:1230268)
      WEB Apache log4j Remote Code Execution -1.h (CVE-2021-44228) (シグネチャID:1230269)
      WEB Apache log4j Remote Code Execution -2.u (CVE-2021-44228) (シグネチャID:1230274)
      WEB Apache log4j Remote Code Execution -2.h (CVE-2021-44228) (シグネチャID:1230275)

      • シグネチャバージョン18.188以降、4.1232以降で対応
  • 調査記事など
    • 「WatchGuard Technologies製品への影響」に記載したリンクをご参照ください。

A10 Networks

A10 Networks社の対応状況は以下の通りです。

  • A10 Networks社製品への影響
  • 対応するシグネチャ(今後順次追加される可能性があります。)
    • 継続調査を行いaFleXによる緩和策について上記アドバイザリで更新すると発表しています。

その他

AWS WAF、Azure WAFにつきましては以下の通りです。

AWS WAF

AWSManagedRulesKnownBadInputsRuleSetにてシグネチャ追加済みと発表しています。
参考:Apache Log4j2 Issue (CVE-2021-44228)

Azure WAF

Microsoft Security Response Centerのブログ(下記参照)にて、WAFのマネージドルールの強化に取り組んでいると発表しています。
参考:Microsoft’s Response to CVE-2021-44228 Apache Log4j 2

(2021/12/15追記)
以下のガイダンスで、Default Rule Set (DRS) versions 1.0 and 1.1のルール:944240にて対応したの発表がありました。詳細については以下のリンクをご参照ください。

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation

最後に

根本的な対策としては、脆弱性に対応したlog4jへのアップデートとなりますが、各UTMやWAFによる緩和についても一定の効果が得られると考えられますので、ご参考になれば幸いです。

また、外部への通信(アウトバウンド方向)をファイアウォール等で制御していれば、万が一本件の脆弱性を突いた攻撃を受けた場合の影響を緩和できる可能性もあります。

※本件は、外部からのコードの実行にldapが用いられることが確認されており、外部への不要なldap通信を遮断することが緩和策の一つになると考えられます。
これを機に、サーバからのアウトバウンド通信のファイアウォールについて見直してみることもおすすめします。

最後までお読みいただきありがとうございました!
皆様のお役にたてますと幸いです。

【更新履歴】
2021/12/13 新規公開
2021/12/13 誤字修正
2021/12/14 WatchGuard Technologies社の対応シグネチャについて記載
2021/12/15 CVE-2021-45046についての情報を追記およびAzure WAFの対応状況について更新
2021/12/16 Palo Alto Networks社のPanoramaへの影響および対応シグネチャID:92001を追加
2021/12/16 A10 Networks社について情報を追記
2021/12/18 CVE-2021-45046のCVSSスコア更新および2.17.0のリリースと新たに報告された脆弱性(CVE-2021-45105)を追加
2021/12/29 CVE-2021-44832について追加

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Windows版LogStare Collectorにて使用するJavaの準備方法前のページ

CloudWatchでデモサイトを監視してみた次のページcloudwatch

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. FortiGateの冗長化構成におけるha-direct設定方法について

    NW機器

    FortiGateの冗長化構成(HA構成)におけるha-direct設定について

    当記事では、冗長構成(HA構成)のFortiGateにおけるha-di…

  2. NW機器

    【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2…

    ※本記事の内容は、2021年11月15日現在の公開情報をもとに記載して…

  3. NW機器

    FortiGateにおける複数のSyslogサーバへログ転送を行う設定について

    当記事では、FortiGateにおける複数のSyslogサーバへログ転…

  4. Windows/Linux

    CloudWatch監視に必要な権限について

    当記事では、CloudWatch監視に必要な権限について記載します。…

  5. NW機器

    VMware ESXiにおけるSNMPサービス有効化手順

    当記事では、VMware ESXiにおけるSNMPサービスの有効化方法…

  6. NW機器

    Cisco 製品にSNMP (v1, v2c) / Syslog の設定を追加する (Cisco C…

    当記事では、Cisco 製品からSNMP 並びにSyslog を取得す…

secuavail

logstare collector

logstare collector

  1. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP