2021年12月9日、人気のあるApache Log4j 2ロギングライブラリの複数のバージョンに影響を与える新しい重大なゼロデイ脆弱性が公に公開されました。この脆弱性が悪用されると、影響を受けたインストールで特定の文字列をログに記録することにより、リモートコード実行 (RCE) が発生する可能性があります。この特定の脆弱性にはCVE-2021-44228が割り当てられており、さまざまなブログやレポートでLog4Shellと一般的に呼ばれています。
Trend Cloud Oneは、環境全体でこの新しい脆弱性に対する広範な保護を提供します。
  • Workload Securityで脆弱性を仮想的にパッチしてコンピュータへの攻撃を防ぎます。Workload Securityは攻撃を検出するためのログインスペクションルールと、攻撃を検出および防止するための不正プログラム対策機能も提供します。
  • ネットワークセキュリティを使用して、サービス拒否攻撃とJNDIインジェクション/ルックアップを防止します。
  • Container SecurityでLog4jを含むコンテナイメージを検出します。
  • Conformityを使用してクラウド環境でLog4jをチェックしてください。
Trend Micro Cloud Oneがこの脆弱性からどのように保護するかを示すビデオをご覧ください。また、この問題に関するトレンドマイクロのリソースのリストも増え続けています。

Workload Security

Workload Securityは、仮想パッチを使用して攻撃を防ぐことに重点を置いたIPSルール、攻撃を検出するためのログインスペクションルール、および攻撃を検出して防ぐための不正プログラム対策機能を提供します。
Workload Securityには、コンピュータをゼロデイ脆弱性やその他の攻撃から保護するIntrusion Preventionモジュール (IPS)が含まれています。IPSルールは、脆弱性を悪用しようとするトラフィックをインターセプトすることで仮想パッチを提供し、ベンダーのパッチがリリースされ、テストされ、展開されるまでワークロードを保護します。
トレンドマイクロラボチームは、この脆弱性に対処するための新しいIPSルールを提供しました。
1011242 - Apache Log4j リモートコード実行の脆弱性 (CVE-2021-44228)

Log4j脆弱性に対して仮想パッチを適用する

新しいルールがワークロードを保護しているかどうかを確認するために、次の手順に従ってください。
  1. Workload Securityコンソールで、管理 > 更新 > セキュリティ > ルールに移動します。
  2. 新しいルールは21-057.dsruに含まれています。ルールの更新が適用済みとして表示されていることを確認してください。
    log4j-dsru=1d7f9437-6f41-4144-a03d-bd78f3e6ff81.png
    log4j-dsru-21-057=26f9bb17-e66b-4955-bed4-b1bf9b4e0a22.png
  3. ルールが適用されない場合、推奨検索を実行してください。一度だけ実行するスケジュールされたタスクを作成し、'完了時にタスクを実行'オプションを選択してください。
    log4j-scheduled-task=ee71b533-60d6-4651-8033-fe963b142bdf.png
  4. ルールが推奨される場所で適用されるようにするために、スキャンしたコンピュータに割り当てられたポリシーを開き、IPS > 一般に移動してルール1011242を検索します。ルール名の横にあるチェックボックスを選択してポリシーに割り当てます。このポリシーで保護されているすべてのコンピュータにルールが適用されます。
    注意
    注意
    非デフォルトポートで動作しているアプリケーションのためにポートリストを更新する必要があるかもしれません。
  5. IPSは検出モードまたは防止モードで動作します。検出モードはルール違反に関するイベントを生成しますが、トラフィックをブロックしません。防止モードはイベントを生成し、ルールに一致するトラフィックをブロックして攻撃を防ぎます。防止モードを設定するには、コンピュータまたはポリシーエディタを開き、IPS > 一般に移動してIPSの動作防止に設定します。保存をクリックします。

推奨検索を実行せずにIPSルールを適用する

推奨検索を実行したくない場合は、ルールをベースポリシーに直接適用できます。
  1. Workload Securityコンソールで、ポリシーに移動します。
  2. ベースポリシーをダブルクリックしてポリシーの詳細を表示します。
  3. Intrusion Prevention を選択します。
  4. 一般 タブで、IPS状態オンに設定されていること、およびIPS動作防止に設定されていることを確認してください。
  5. 割り当てられたIPSルールセクションで、割り当て/割り当て解除を選択します。IPSルールページが開きます。
  6. ルール1011242を検索します。ポリシーに割り当てるためにルール名の横にあるチェックボックスを選択します。OKを選択します。
  7. 基本ポリシーページで保存を選択し、ルールのモードが防止に設定されていることを確認してください。
    ips-rule=bee07648-0b65-4f4b-85c9-d587218a0229.png

潜在的に影響を受けるホストを特定する

Trend Vision Oneも使用している場合、次のクエリを使用してこの脆弱性の影響を受ける可能性のあるホストを特定できます。
eventName:DEEP_PACKET_INSPECTION_EVENT AND (ruleId:1008610 OR  ruleId:1011242 OR
        ruleId:1005177) AND ("${" AND ("lower:" OR "upper:" OR  "sys:" OR "env:" OR
        "java:" OR "jndi:"))

ログインスペクションルールを使用して活動を調査する

トレンドマイクロは、この脆弱性に関連する活動を特定するためのログインスペクションルールを提供しています。
1011241 - Apache Log4j リモートコード実行の脆弱性 (CVE-2021-44228)
注意
注意
ルール設定を確認して、正しいログファイルが監視されていることを確認してください。デフォルトのアクセスログパスが/var/log/*/access.logでない場合は、アプリケーションのアクセスログファイルパスを追加してください。
将来的に発見されるパターンを検出するために、カスタムログインスペクションルールを作成することもできます。詳細については、Trend Cloud One - Workload SecurityおよびDeep SecurityにおけるLog4Shell脆弱性のためのカスタムログインスペクションルールを参照してください。

Network Security

ネットワークセキュリティは攻撃を防ぐためのフィルターを提供します。また、地域や匿名プロキシをブロックするためのジオロケーションフィルタリングや、許可リストにないドメインへの不承認アクセスを防ぐためのドメインフィルタリングなど、攻撃チェーンを妨害するために使用できる追加のコントロールも提供します。
ネットワークセキュリティフィルターで攻撃を防ぐのに役立つのはフィルター40627 : HTTP: HTTPヘッダーまたはURIにおけるJNDIインジェクションであり、Digital Vaccine #9621でリリースされました。このフィルターはサービス拒否の脆弱性に対応しており、JNDIインジェクション/ルックアップも防止します。
このフィルターをブロックで有効にし、最適なカバレッジのためにポスチャーを通知する必要があります。2021年12月21日にリリースされたデジタルワクチンから、デフォルトで有効になります。環境で有効になっていない可能性があるため、ポリシーでフィルターが有効になっていることを確認することを強くお勧めします。フィルターおよびクラウドアカウントとアプライアンスの追加方法については、ネットワークセキュリティのドキュメントを参照してください。
ネットワークセキュリティは、次のセクションで説明される攻撃チェーンを妨害するための追加の制御も提供します。

攻撃を妨害する可能性のあるその他のネットワークセキュリティ制御

この攻撃は、悪意のある攻撃ペイロードの転送を開始するためにエクスプロイトが使用されると成功します。上記のフィルターに加えて、これらの技術はその連鎖を妨害するのに役立ちます。
  • ジオロケーションフィルタリングを使用して、可能な攻撃ベクトルを減らします。ジオロケーションフィルタリングは、指定された国への入出力接続をブロックすることができ、攻撃者が環境を悪用する能力を制限する可能性があります。ビジネスが特定の地域でのみ運営されている場合、他の国を積極的にブロックすることが推奨される場合があります。ジオロケーションフィルタリングについて学ぶ
  • 匿名プロキシは、ジオロケーションフィルタリングの一部として選択できる独立した設定可能な地域でもあります。これにより、脆弱性悪用の試行の一環として一般的に使用される匿名プロキシまたは匿名化サービスへの入出力接続がブロックされます。
  • ドメインフィルタリングを使用して攻撃ベクトルを制限し、この脆弱性を悪用するために使用される攻撃チェーンを妨害します。この場合、アクセスされるドメインが許可リストにない限り、TCP経由のすべてのアウトバウンド接続はドロップされます。攻撃者のドメイン、例えばhttp://attacker.comが許可リストにない場合、IPSフィルタポリシーに関係なくデフォルトでブロックされます。ドメインフィルタリングについて学ぶ

潜在的に影響を受けるホストを特定する

ネットワークセキュリティを使用すると、フィルター (40641: HTTP: Worm.Shell.Tsunami. B ランタイム検出および40643: TCP: Trojan.Linux.Sonawatsi. A ランタイム検出) を使用して、当社の脅威研究チームによって積極的に流通していると特定された不正プログラムおよびランサムウェアに関連するLog4jの指標を特定できます。これらのフィルターに関連するアラートやイベントを受け取った場合は、直ちに対応してください。影響を受けたホストのトリアージを優先してください。これはLog4jに関連する潜在的な侵害を示している可能性があります。

Container Security

Container SecurityはLog4jを含むコンテナイメージを検出します。
コンテナを保護するには:
  1. Container Securityポリシーを設定する
    ポリシーは、スキャンされていないイメージと重大な脆弱性を含むイメージの両方の展開をブロックする必要があります。
    container-security-deployment=fbc8448e-1ee6-4f2d-9e19-9b3c77c83e03.png
    また、未スキャンのイメージや重大な脆弱性を含むイメージの実行を終了する必要があります。
    container-security-continuous=1aa360e7-9ff5-40ee-a571-1255a9d77f1f.png
    注意
    注意
    未スキャンのイメージを終了すると、Log4jに特定されていない項目を含む、スキャンされていないすべてのイメージが終了されます。

Conformity

Conformityは、90以上のサービスにわたる約1000のクラウドサービス構成ベストプラクティスに対して自動チェックを可能にすることで、クラウドインフラストラクチャの中央可視性とリアルタイム監視を提供し、クラウドサービスの誤設定を回避します。
ConformityはLog4jをチェックするための以下のルールを提供します。ルールの設定方法についてはルール設定を参照してください。

この脆弱性に関するトレンドマイクロの追加リソース