概要

この記事では、Log4j リモートコード実行 (RCE) 脆弱性に関する情報と、顧客を保護するために Cato Networks が取った対策について説明します。

この記事は CVE-2021-44228 に関するもので、この脆弱性には CVSS リスクスコア 10.0 (重大) が割り当てられています

Cato は現在、この脆弱性が顧客ベースに与える影響を評価しており、状況の進展に応じてこの記事を更新します。 

背景と影響

Java ログライブラリ Apache Log4j 2 のバージョン 2.0-beta9 から 2.14.1 に欠陥が発見されました。 システムが攻撃者の JNDI LDAP サーバールックアップを伴う攻撃者制御の文字列値をログに記録する場合、リモート攻撃者がサーバーでコードを実行する可能性があります。

このエクスプロイトは攻撃者が Java アプリケーションで悪意のあるコードを実行できるようにし、Log4j が世界的なソフトウェア資産に広く使用されているため、重大なリスクを引き起こします。 

環境

この問題は Log4j バージョン 2.0 から 2.14.1 の間にのみ影響を与えるようです。 この欠陥を悪用するためには、以下が必要です：

• 任意のプロトコル (HTTPプロトコル, TCP など) を使用した遠隔からアクセス可能なエンドポイントで、攻撃者が任意のデータを送信できるようにする
• 攻撃者が制御するデータをログに記録するエンドポイントのログステートメント。

log4j 1.x で JNDI を使用できる JMS Appender の存在により、log4j バージョン 1.x もこの脆弱性の影響を受ける可能性があります。 影響はまだセキュリティ研究者によって調査中です。 

Cato は何をしているのか？

Cato Networks のセキュリティアナリストは、顧客がこの脅威にさらされないように、可能性のある脆弱性やエクスポージャーを特定し、正確に特定し、緩和するため、絶え間なく作業しています。 

• 2021年12月9日: セキュリティコミュニティが Apache Log4j ソフトウェアにおけるアクティブなエクスプロイト試行を認識しました。
• 2021年12月10日: Cato Networks はこのエクスプロイトに関連するトラフィック署名を特定し、顧客ベースのアクティブなモニタリングを開始しました。
• 2021年12月11日: この脆弱性を緩和するために、全ての Cato 顧客に対して IPS 内でグローバルなブロックルールを実装しました。

現在、Cato Cloud のインフラストラクチャはこのエクスプロイトに脆弱ではないと考えられています。 

私がするべきことは何ですか？

• Cato IPS が有効になっている場合、この脆弱性のトラフィック署名を自動的にアクティブにブロックします。 Cato プラットフォームに対するパッチや更新は不要です。
• Cato SDP クライアント、Cato ソケット、および Cato vSockets は Apache Log4j を使用していません。
• Apache製品を使用中の顧客は、ベンダーの継続的なアドバイザリに従うことをお勧めします

このCVEのブロックアクションを示すIPSイベントがCato管理画面内で生成されます。 例：

この状況は現在IT環境内で進化しており、Cato Networksは顧客が保護されたままでいられるように状況を積極的に監視し調査しています。