|
説明
|
2021年12月9日、複数のバージョンの人気のあるApache Log4j 2ロギングライブラリに影響を与える新しい重大なゼロデイ脆弱性が公開されました。この脆弱性が悪用されると、影響を受けたインストールで特定の文字列をログに記録することにより、リモートコード実行
(RCE) が発生する可能性があります。
|
|
修復
|
Network Securityの顧客は、Digital Vaccine #9621でリリースされたフィルタ40627をブロックおよび通知ポスチャーで有効にして、最適なカバレッジを確保する必要があります。2021年12月21日にリリースされたDigital
Vaccineから、このフィルタはデフォルトで有効になります。トレンドマイクロは、ポリシーでフィルタが有効になっていることを確認することをお勧めします。CVE-2021-45105をカバーするフィルタ40652:
HTTP: Apache Log4j StrSubstitutor Denial-of-Service Vulnerability (ZDI-21-1541) も有効にする必要があります。
|
|
セキュリティ速報
|
1091
|
|
危険度
|
低 (一般的に許容可能なリスクレベル)
|
攻撃を阻止するための推奨アクション
この攻撃は、攻撃コードが使用されて悪意のある攻撃ペイロードの転送が開始されると成功します。フィルター#40627に加えて、次の技術がその連鎖を断ち切ることができます。
- [Geolocation filtering –] ジオロケーションフィルタリングを使用すると、攻撃ベクトルを減らすことができます。ジオロケーションフィルタリングは、指定された国へのインバウンドおよびアウトバウンド接続をブロックでき、攻撃者が環境を攻撃コードする能力を制限する可能性があります。ビジネスが特定の地域でのみ運営されている場合、他の国を積極的にブロックすることが推奨される場合があります。詳細はこちら。
- [Anonymous proxies –] 匿名プロキシは、ジオロケーションフィルタリングの一部として選択できる独立した設定可能な「地域」でもあります。これにより、脆弱性悪用の試行の一環として一般的に使用される匿名プロキシまたは匿名化サービスへのインバウンドまたはアウトバウンド接続がブロックされます。
- [Domain filtering –] ドメインフィルタリングは、攻撃ベクトルを制限し、この脆弱性を悪用するために使用される攻撃チェーンを妨害するためにも使用できます。この場合、許可リストにあるドメインにアクセスする場合を除き、TCP経由のすべてのアウトバウンド接続が拒否されます。攻撃者のドメイン (例えば、http://attacker.com) が許可リストにない場合、IPSフィルタポリシーに関係なくデフォルトでブロックされます。詳細はこちら。