Log4jの脆弱性に関するTrend Cloud Oneの適用範囲

2021年12月9日、一般的なApache Log4j 2ログライブラリの複数のバージョンに影響を与える重大なゼロデイ脆弱性が新たに公開されました。この脆弱性が悪用された場合、影響を受けるインストールで特定の文字列がログに記録され、リモートコード実行 (RCE) が引き起こされる可能性があります。この特定の脆弱性はCVE-2021-44228に割り当てられており、さまざまなブログやレポートで一般的にLog4Shellと呼ばれています。

Trend Cloud Oneは、環境全体でこの新しい脆弱性を幅広くカバーします。

• Workload Securityを使用して脆弱性に仮想的にパッチを適用することで、コンピュータへの攻撃を防止します。Workload Security は、攻撃を検出するための セキュリティログ監視 ルールと、攻撃を検出および防止するための 不正プログラム対策 機能も提供します。
• Network Securityを使用して、DoS攻撃やJNDIインジェクション/検索を防止します。
• Container Security を使用してLog4jを持つコンテナイメージを検出します。
• Conformity を使用して、クラウド環境でLog4jを確認します。

このビデオ で、 Trend Micro Cloud One がこの脆弱性からどのように保護されるかをご覧ください。また、この問題に関するトレンドマイクロのリソースのリストも増えています。

Workload Security

Workload Security は、仮想パッチを使用した攻撃の防止に焦点を当てた 侵入防御 ルール、攻撃を検出するための セキュリティログ監視 ルール、および攻撃を検出して防止するための 不正プログラム対策 機能を提供します。

Workload Securityには、侵入防御モジュール (IPS) が含まれており、ゼロデイ脆弱性やその他の攻撃からコンピュータを保護します。侵入防御ルールは、脆弱性を悪用しようとするトラフィックをインターセプトすることで仮想パッチを提供し、脆弱性を修正するベンダーのパッチがリリース、テスト、および配信されるまでワークロードを保護します。

Trend Micro Labsチームは、この脆弱性に対処する新しいIPSルールを提供しています。

1011242-Apache Log4jにおけるリモートコード実行の脆弱性（CVE-2021-44228）

Log4jの脆弱性に対する仮想パッチの適用

次の手順に従って、新しいルールによってワークロードが保護されているかどうかを確認します。

1. Workload Security コンソールで、[管理]→[アップデート]→[セキュリティ]→[ルール]に選択します。

2. 新しいルールは、 21-057.dsruに含まれています。ルールのアップデートが「Applied」と表示されていることを確認します。

   

   

3. ルールが適用されない場合は、推奨設定の検索を実行します。 1回だけ実行する予約タスクを作成し、 [完了] でタスクを実行するオプションを選択する必要があります。

   

4. 推奨される場所にルールが適用されるようにするには、検索したコンピュータに割り当てられているポリシーを開き、[侵入防御] → [一般]の順に選択し、ルール「1011242」を検索します。ポリシーに割り当てるルール名の横にあるチェックボックスをオンにします。このポリシーで保護されているすべてのコンピュータにルールが適用されます。

   初期設定以外のポートで実行されているアプリケーションについては、ポートリストの更新が必要になる場合があります。 {.note}

5. 侵入防御 は、検出モードと防御モードのいずれかで動作します。検出モードでは、ルール違反に関するイベントが生成されますが、トラフィックはブロックされません。防御モードでは、イベントを生成し、ルールに一致するトラフィックをブロックして攻撃を防ぎます。防御モードを設定するには、コンピュータまたはポリシーエディタを開き、 侵入防御 > 一般 に移動し、 侵入防御の動作 を 防御に設定します。保存 をクリックします。

推奨設定の検索を実行せずにIPSルールを適用する

推奨設定の検索を実行しない場合は、基本ポリシーにルールを直接適用できます。

1. Workload Security コンソールで、[ポリシー]に選択します。
2. ベースポリシー をダブルクリックして、ポリシーの詳細を表示します。
3. [侵入防御]を選択します。
4. [一般]タブで、[侵入防御のステータス]が[オン]に設定され、[侵入防御の動作]が[防御]に設定されていることを確認します。
5. [ 現在割り当てられている侵入防御ルール ]セクションで、[ 割り当て/割り当て解除 ]を選択します。[IPSルール]画面が開きます。
6. ルール1011242を検索します。ポリシーに割り当てるルール名の横にあるチェックボックスをオンにします。[OK]を選択します。

7. [基本ポリシー] ページで、[保存] を選択し、ルールの [モード] が [防止] に設定されていることを確認します。

   

影響を受ける可能性のあるホストの特定

Trend Vision Oneも使用している場合は、次のクエリを使用して、この脆弱性の影響を受ける可能性のあるホストを特定できます。

eventName:DEEP_PACKET_INSPECTION_EVENT AND (ruleId:1008610 OR ruleId:1011242 OR ruleId:1005177) AND ("${" AND ("lower:" OR "upper:" OR "sys:" OR "env:" OR "java:" OR "jndi:"))

セキュリティログ監視 ルールを使用してアクティビティを調査する

トレンドマイクロでは、この脆弱性に関連するアクティビティの特定に役立つ セキュリティログ監視 ルールを提供しています。

1011241-Apache Log4jにおけるリモートコード実行の脆弱性（CVE-2021-44228）

ルール設定 をチェックして、正しいログファイルが監視されていることを確認します。初期設定のアクセスログのパスが /var/log/*/access.logではない場合は、アプリケーションのアクセスログファイルのパスを追加します。 {.note}

将来発見されるパターンを検出するために、カスタムセキュリティログ監視ルールを作成することもできます。詳細については、Trend Cloud One - Workload Security および Deep Security における Log4Shell 脆弱性のためのカスタムセキュリティログ監視ルール を参照してください。

Network Security

Network Security は、攻撃の防止に役立つフィルタを提供します。また、リージョンや匿名プロキシをブロックするジオロケーションフィルタ、許可リストにないドメインへの許可されていないアクセスを防止するドメインフィルタなど、攻撃チェーンを中断するために使用できる追加の制御機能も提供します。

攻撃の防止に役立つ Network Security フィルタは、 Filter 40627：HTTP：JNDI Injection in HTTP Header or URIで、Digital Vaccine #9621でリリースされました。このフィルタは、サービス運用妨害の脆弱性を対象とし、JNDIインジェクション/ルックアップを防止します。

最適なカバレッジを得るには、ブロックでこのフィルタを有効にし、ポスチャに通知する必要があります。 2021年12月21日にリリースされたデジタルワクチン以降、初期設定で有効になります。お使いの環境では有効になっていない可能性があるため、ポリシーでフィルタが有効になっていることを確認することを強くお勧めします。 フィルタ および クラウドアカウントとアプライアンスの追加方法 の詳細については、ネットワークセキュリティのドキュメントを参照してください。

Network Security は、次のセクションで説明する攻撃チェーンを中断するための追加の制御も提供します。

攻撃を中断させる可能性のあるその他の Network Security コントロール

この攻撃は、攻撃コードが悪意のある攻撃ペイロードの転送開始に使用された場合に成功します。上記のフィルタに加えて、これらの手法はチェーンを中断するのに役立ちます。

• ジオロケーションフィルタを使用して、攻撃経路を削減します。ジオロケーションフィルタを使用すると、指定した国への送受信接続をブロックできるため、攻撃者が環境を悪用する能力が制限される可能性があります。企業が世界の特定の地域でのみ事業を展開している場合は、他の国を積極的にブロックすることをお勧めします。ジオロケーションフィルタについての詳細。
• 匿名プロキシは、ジオロケーションフィルタの一部として選択できる、独立した設定可能な「リージョン」でもあります。これにより、悪用の試みの一部として一般に使用される可能性がある、匿名プロキシまたは匿名サービスとの送受信接続がブロックされます。
• ドメインフィルタを使用して攻撃経路を制限し、この脆弱性の悪用に使用される攻撃チェーンを中断します。この場合、アクセス対象のドメインが許可リストに登録されていない限り、TCP経由の送信接続はすべて破棄されます。 http://attacker.com などの攻撃者のドメインが許可リストにない場合、IPSフィルタポリシーに関係なく、初期設定でブロックされます。ドメインフィルタについての詳細。

影響を受ける可能性のあるホストの特定

Network Securityでは、フィルタ（40641: HTTP: Worm.Shell.Tsunami. B Runtime Detection and 40643: TCP: Trojan.Linux.Sonawatsi. A Runtime Detection）を使用して、脅威調査チームによって、活動中のウイルスとして特定された不正プログラムやランサムウェアのLog4j関連インジケータを特定できます。これらのフィルタに関連するアラートまたはイベントを受信した場合は、ただちに処理を実行してください。影響を受けたホストの優先順位付けを優先します。これは、潜在的なLog4j関連の侵害を示している可能性があります。

Container Security

Container Security は、Log4jを持つコンテナイメージを検出します。

コンテナを保護するには：

1. Container Securityポリシーの設定。

   ポリシーは、未検索のイメージと重大な脆弱性を含むイメージの両方の配信をブロックする必要があります。

   

   また、未検索のイメージと重大な脆弱性を含むイメージの両方の実行を停止します。

   

   未検索の画像を終了すると、検索されていないすべての画像（Log4jに固有でない項目を含む）が終了します。 {.note}

Conformity

Conformity は、90を超えるサービス全体で約1000のクラウドサービス設定のベストプラクティスを自動チェックし、クラウドサービスの設定ミスを回避することで、クラウドインフラストラクチャを一元的に可視化し、リアルタイムで監視します。

Conformity には、Log4jをチェックするための次のルールが用意されています。ルールの設定方法については、Rules configurationを参照してください。

• Lambda-001 は、潜在的に脆弱なJavaを実行しているLambdaを検出します。
• Approved/Golden AMIs（EC2-028） は、Javaを実行している脆弱なAMIを検索します。
• Unrestricted Security Group Egress（EC2-033） は、0.0.0.0 / 0出力ルールを含むセキュリティグループを識別します。

この脆弱性に関するトレンドマイクロのその他のリソース

• トレンドマイクロの最新情報については、Apache Log4j（Log4Shell）Vulnerabilityを参照してください。
• この脆弱性の詳細情報と、トレンドマイクロがどのようにして攻撃から環境を保護できるかについては、セキュリティアラート: Apache Log4j "Log4Shell" リモートコード実行 0-Day 脆弱性 (CVE-2021-44228) を参照してください。