Trend Micro Cloud One でのLog4jの脆弱性の検出

2021年12月9日、人気のApache Log4j 2ログライブラリの複数のバージョンに影響する重大なゼロデイ脆弱性が公開されました。この脆弱性が悪用されると、影響を受けるインストールで特定の文字列がログに記録され、リモートでコードが実行される可能性があります。この脆弱性はCVE-2021-44228に割り当てられており、さまざまなブログやレポートで「Log4Shell」と呼ばれています。

Trend Micro Cloud One は、環境全体でこの新しい脆弱性を広範囲にカバーします。

• Workload Securityを使用して脆弱性に仮想的にパッチを適用することで、コンピュータへの攻撃を防止します。Workload Security は、攻撃を検出するための セキュリティログ監視 ルールと、攻撃を検出および防止するための 不正プログラム対策 機能も提供します。
• Network Securityを使用して、DoS攻撃やJNDIインジェクション/検索を防止します。
• Application Securityを使用して実行中のアプリケーションに対する攻撃を防ぎます。これにより、予期しないシェルコマンドの実行が阻止されます。
• 組織のソースコードリポジトリ全体でlog4jライブラリの脆弱なバージョンを特定し、以下を使用して脆弱でないバージョンへの更新の進行状況を監視します。Open Source Security by Snyk。
• Container Security を使用してLog4jを持つコンテナイメージを検出します。
• Conformity を使用して、クラウド環境でLog4jを確認します。

このビデオ で、 Trend Micro Cloud One がこの脆弱性からどのように保護されるかをご覧ください。また、この問題に関するトレンドマイクロのリソースのリストも増えています。

Workload Security

Workload Security は、仮想パッチを使用した攻撃の防止に焦点を当てた 侵入防御 ルール、攻撃を検出するための セキュリティログ監視 ルール、および攻撃を検出して防止するための 不正プログラム対策 機能を提供します。

Workload Security には、コンピュータをゼロデイ脆弱性やその他の攻撃から保護する 侵入防御 モジュール （IPS）が含まれています。侵入防御 ルールは、脆弱性を悪用しようとするトラフィックをインターセプトすることで「仮想パッチ」を提供し、脆弱性を修正するベンダのパッチがリリース、テスト、および配信されるまでワークロードを保護します。

Trend Micro Labsチームは、この脆弱性に対処する新しいIPSルールを提供しています。

1011242-Apache Log4jにおけるリモートコード実行の脆弱性（CVE-2021-44228）

Log4jの脆弱性に対する仮想パッチの適用

次の手順に従って、新しいルールがワークロードを保護しているかどうかを確認します。

1. Workload Security コンソールで、[管理]→[アップデート]→[セキュリティ]→[ルール]に選択します。

2. 新しいルールは、 21-057.dsruに含まれています。ルールのアップデートが「Applied」と表示されていることを確認します。

   

   

3. ルールが適用されていない場合、 推奨設定の検索を実行します。「1回実行」という予約タスクを作成し、[完了] でタスクを実行オプションを選択することをお勧めします。

   

4. 推奨される場所にルールが適用されるようにするには、検索したコンピュータに割り当てられているポリシーを開き、[侵入防御] → [一般]の順に選択し、ルール「1011242」を検索します。ポリシーに割り当てるルール名の横にあるチェックボックスをオンにします。このポリシーで保護されているすべてのコンピュータにルールが適用されます。

   初期設定以外のポートで実行されているアプリケーションについては、ポートリストの更新が必要になる場合があります。

5. 侵入防御 は、検出モードと防御モードのいずれかで動作します。検出モードでは、ルール違反に関するイベントが生成されますが、トラフィックはブロックされません。防御モードでは、イベントを生成し、ルールに一致するトラフィックをブロックして攻撃を防ぎます。防御モードを設定するには、コンピュータまたはポリシーエディタを開き、 侵入防御 > 一般 に移動し、 侵入防御の動作 を 防御に設定します。保存 をクリックします。

推奨設定の検索を実行せずにIPSルールを適用する

推奨設定の検索を実行しない場合は、ベースポリシーにルールを直接適用できます。

1. Workload Security コンソールで、[ポリシー]に選択します。
2. ベースポリシー をダブルクリックして、ポリシーの詳細を表示します。
3. [侵入防御]を選択します。
4. [一般]タブで、[侵入防御のステータス]が[オン]に設定され、[侵入防御の動作]が[防御]に設定されていることを確認します。
5. [ 現在割り当てられている侵入防御ルール ]セクションで、[ 割り当て/割り当て解除 ]を選択します。[IPSルール]画面が開きます。
6. ルール1011242を検索します。ポリシーに割り当てるルール名の横にあるチェックボックスをオンにします。[OK]を選択します。

7. [ベースポリシー]画面で、[ 保存 ]を選択し、ルールの[モード]が[ 防御 ]に設定されていることを確認します。

   

影響を受ける可能性のあるホストの特定

Trend Micro Vision Oneも使用している場合は、次のクエリを使用して、この脆弱性の影響を受ける可能性のあるホストを特定できます。

eventName:DEEP_PACKET_INSPECTION_EVENT AND (ruleId:1008610 OR ruleId:1011242 OR ruleId:1005177) AND ("${" AND ("lower:" OR "upper:" OR "sys:" OR "env:" OR "java:" OR "jndi:"))

セキュリティログ監視 ルールを使用してアクティビティを調査する

トレンドマイクロでは、この脆弱性に関連するアクティビティの特定に役立つ セキュリティログ監視 ルールを提供しています。

1011241-Apache Log4jにおけるリモートコード実行の脆弱性（CVE-2021-44228）

ルール設定 をチェックして、正しいログファイルが監視されていることを確認します。初期設定のアクセスログのパスが /var/log/*/access.logではない場合は、アプリケーションのアクセスログファイルのパスを追加します。

セキュリティログ監視 ルールを作成して、今後検出されるパターンを検出することもできます。詳細については、Trend Micro Cloud One - Workload Security と Deep Security での Log4Shellの脆弱性に対するカスタムセキュリティログ監視ルールを参照してください。

Network Security

Network Security は、攻撃の防止に役立つフィルタを提供します。また、リージョンや匿名プロキシをブロックするジオロケーションフィルタ、許可リストにないドメインへの許可されていないアクセスを防止するドメインフィルタなど、攻撃チェーンを中断するために使用できる追加の制御機能も提供します。

攻撃の防止に役立つ Network Security フィルタは、 Filter 40627：HTTP：JNDI Injection in HTTP Header or URIで、Digital Vaccine #9621でリリースされました。このフィルタは、サービス運用妨害の脆弱性を対象とし、JNDIインジェクション/ルックアップを防止します。

最適なカバレッジを得るには、ブロックでこのフィルタを有効にし、ポスチャに通知することをお勧めします。2021年12月21日にリリースされたデジタルワクチンから、初期設定で有効になります。環境によっては有効になっていない可能性があるため、ポリシーでフィルタが有効になっていることを確認することを強くお勧めします。詳細については、Network Securityのドキュメントを参照してください、フィルタおよびクラウドアカウントとアプライアンスを追加する方法。

Network Security は、次のセクションで説明する攻撃チェーンを中断するための追加の制御も提供します。

攻撃を中断させる可能性のあるその他の Network Security コントロール

この攻撃は、攻撃コードが悪意のある攻撃ペイロードの転送開始に使用された場合に成功します。上記のフィルタに加えて、これらの手法はチェーンを中断するのに役立ちます。

• ジオロケーションフィルタを使用して、攻撃経路を削減します。ジオロケーションフィルタを使用すると、指定した国への送受信接続をブロックできるため、攻撃者が環境を悪用する能力が制限される可能性があります。企業が世界の特定の地域でのみ事業を展開している場合は、他の国を積極的にブロックすることをお勧めします。ジオロケーションフィルタについての詳細。
• 匿名プロキシは、ジオロケーションフィルタの一部として選択できる、独立した設定可能な「リージョン」でもあります。これにより、悪用の試みの一部として一般に使用される可能性がある、匿名プロキシまたは匿名サービスとの送受信接続がブロックされます。
• ドメインフィルタを使用して攻撃経路を制限し、この脆弱性の悪用に使用される攻撃チェーンを中断します。この場合、アクセス対象のドメインが許可リストに登録されていない限り、TCP経由の送信接続はすべて破棄されます。 http://attacker.com などの攻撃者のドメインが許可リストにない場合、IPSフィルタポリシーに関係なく、初期設定でブロックされます。ドメインフィルタについての詳細。

影響を受ける可能性のあるホストの特定

Network Securityでは、フィルタ（40641: HTTP: Worm.Shell.Tsunami. B Runtime Detection and 40643: TCP: Trojan.Linux.Sonawatsi. A Runtime Detection）を使用して、脅威調査チームによって、活動中のウイルスとして特定された不正プログラムやランサムウェアのLog4j関連インジケータを特定できます。これらのフィルタに関連するアラートまたはイベントを受信した場合は、ただちに処理を実行してください。影響を受けたホストの優先順位付けを優先します。これは、潜在的なLog4j関連の侵害を示している可能性があります。

Application Security

Application Security は、実行中のアプリケーションを監視し、予期しないシェルコマンドの実行を停止できます。

この脆弱性に関連する特定の攻撃コードから保護するには：

1. Application Security コンソールを開き、左側のメニューバーで を選択します。
2. アプリケーションのグループを探します。
3. Remote Command Executionが選択されていない場合は、選択します。
4. 右側のペインでを選択します。
5. < INSERT RULE >を選択します。
6. [Enter a pattern to match]に「 (?s).* 」と入力し、[ Submit ]と[ Save Changes ]を選択します。
7. [Remote Command Execution] の項目で [Mitigate] が選択されていることを確認します。

ブロックされた攻撃コードは次のようになります。

Open Source Security by Snyk

Open Source Security by Snyk は、統合作業をほとんど必要とせずに、組織のソースコードリポジトリに存在するlog4jライブラリの脆弱なバージョンを特定できます。インストール後は、脆弱性のないバージョンへのアップデートの進捗状況を監視することもできます。

Container Security

Container Security は、Log4jを持つコンテナイメージを検出します。

コンテナを保護するには：

1. Container Securityに登録されている Deep Security Smart Check を使用して、すべてのイメージを検索します。

2. Container Security ポリシーを設定します。

   ポリシーは、未検索のイメージと重大な脆弱性を含むイメージの両方の配信をブロックする必要があります。

   

   また、未検索のイメージと重大な脆弱性を含むイメージの両方の実行を停止します。

   

   未検索の画像を終了すると、検索されていないすべての画像（Log4jに固有でない項目を含む）が終了します。

Conformity

Conformity は、90を超えるサービス全体で約1000のクラウドサービス設定のベストプラクティスを自動チェックし、クラウドサービスの設定ミスを回避することで、クラウドインフラストラクチャを一元的に可視化し、リアルタイムで監視します。

Conformity には、Log4jをチェックするための次のルールが用意されています。ルールの設定方法については、Rules configurationを参照してください。

• Lambda-001 は、潜在的に脆弱なJavaを実行しているLambdaを検出します。
• Approved/Golden AMIs（EC2-028） は、Javaを実行している脆弱なAMIを検索します。
• Unrestricted Security Group Egress（EC2-033） は、0.0.0.0 / 0出力ルールを含むセキュリティグループを識別します。

この脆弱性に関するトレンドマイクロのその他のリソース

• トレンドマイクロの最新情報については、Apache Log4j（Log4Shell）Vulnerabilityを参照してください。
• この脆弱性の詳細と攻撃から環境を保護する方法については、SECURITY ALERT：Apache Log4j "Log4Shell" Remote Code Execution 0-Day Vulnerability（CVE-2021-44228）を参照してください。