CVE-2021-44228 - 「Apache Log4j」にリモートコード実行(RCE)のゼロデイ脆弱性が存在
重大な非認証のリモートコード実行 (Remote Code Execution, RCE) の脆弱性 (CVE-2021-44228) が、オープンソースのログ出力ライブラリの Log4j に存在することがわかりました。Akamaiはお客様と直接連携し、24 時間以上にわたりWebアプリケーションファイアウォール(WAF)ルールを展開し、この問題の緩和に努めています。Log4j は多くの人気のあるフレームワークに組み込まれているため、影響は広範囲に及んでいます。この脆弱性は活発に悪用されており、悪用された場合、攻撃者はこのライブラリを含むアプリを実行しているシステム上で任意のコードを実行できてしまいます。
この脆弱性は、Log4jの複数のバージョンと、それらに依存する (Apache Struts2、Apache Solr、ApacheDruid、Apache Flinkなど、多くの) アプリケーションに影響を与えます。アプリケーション管理者と開発者は、どのアプリケーションがLog4jパッケージを使用しているかを確認し、そのパッケージのバージョンが脆弱性の範囲(Log4j versions 2.0 - 2.14.1)にあてはまる場合は、直ちにversion 2.16.0以降にアップデートすることをお勧めします。最新バージョンはこちらのLog4j ダウンロードページ にあります。
Akamai は、このゼロデイ CVE の緩和策を含めた、Aamai WAFの既存の Apache ルールの更新プログラムの展開を完了しました。これには、AkamaiのKona Rule SetまたはAdaptive Security Engineのルール3000014の更新が含まれます。 (Automated Attack Groupエンジンをご利用のお客様向けには、Command Injectionグループを更新しました。) DENY モードでアクティベートされた該当ルール(またはAttack Group)を利用されているお客様には、次の保護エンジンおよびバージョンに対して自動的にインライン保護が適用されます。
● Kona Rule Set - 2019年10月29日以降のバージョン全て
● Automated Attack Groups - 全バージョン
● Adaptive Security Engine - 全バージョン
インターネットに面したアプリケーションをホストしているサーバーは、既に侵害されている可能性があります。侵害されているかどうかの指標を特定するには、次のコマンドを行うと、悪用の試行を表示することができます。
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
Log4j 2.0 から 2.14.1 までのユーザーはすべて、早急に更新することをお勧めしますが、もしそれができない場合は、潜在的な脆弱性を有するマシンで、アウトバウンドアクセスを可能な限り制限する必要があります。複数のアウトバウンドプロトコルが脆弱なシステムを悪用するために利用される可能性があるため、特定の送信ポートやホストをブロックするだけでは十分ではありません。
Akamai セキュリティスイートの一部となった Guardicore Centra をご利用中のAkamai のお客様は、Centra によるプロセスレベルでの通信可視化により、潜在的な危険があるネットワーク内全てのJava ベースアプリケーションを特定できます。お客様はその後、それらの露出度をマッピングしてリスクレベルを評価し、 (例:インターネットに面したサービス、データセンター全体に接続されたインフラ、許可されたユーザーとマシンに提供するローカルアプリケーションなど。) パッチを展開できるまでの間、セグメンテーションルールによる緊急対応を適用することができます。
