米国 CISA から連邦政府各組織へ:Log4Shell への対応を 12月24日までに完了せよ

US CISA orders federal agencies to fix Log4Shell by December 24th

2021/12/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府の各組織に対して 2021年12月24日までに、Log4j ライブラリに存在する深刻な脆弱性 Log4Shell に対処するよう命じた。この命令は、脆弱性 Log4Shell を悪用する脅威アクターによるたちが、政府システムを攻撃することを防ぐことを目的としている。

CVE-2021-44228 の欠陥が大きな話題になったのは、先週に中国のセキュリティ研究者である p0rz9 が、Apache Log4j Java ベースのロギング・ライブラリに影響を与える、深刻なリモートコード実行ゼロデイ脆弱性 (通称:Log4Shell) の PoC Exploit を公開したことによる。

この問題の影響は甚大で、世界中の何千もの組織が攻撃にさらされる可能性があり、セキュリティ専門家たちの間では、すでに悪用のワイルドな試みが報告されている。昨日に、米国 CISA は、Apache Log4Shell Log4j を含む 13件の脆弱性を、新たにKnown Exploited Vulnerabilities Catalog に追加した。このリストは、脅威アクターが攻撃の手段として頻繁に使用し、連邦企業に大きなリスクをもたらす問題を列挙するものだ。

また、CISA は、この脆弱性に関する技術的な詳細を含む、Apache Log4j 脆弱性ガイダンスを公開し、緩和のためのガイダンスを提供している。同組織は、「CISA とパートナーは、Joint Cyber Defense Collaborative を通じて、Apache Log4j の Version 2.0-beta9 〜 2.14.1 に影響を与える、深刻なリモートコード実行の脆弱性 (CVE-2021-44228) が、活発かつ広範に悪用されていることを追跡し、対応している」と述べている。

さらに CISA は、「Log4j は、セキュリティ/パフォーマンス情報を記録するために、コンシューマ/エンタープライズ向けの様々なサービス/Web サイト/アプリケーション/OT 製品などで幅広く利用されている。CISA は、各組織に対して、Apache Log4j Vulnerability Guidance の Web ページを確認し、直ちに Log4j Version 2.15.0 へのアップグレードもしくは、ベンダーが推奨する適切な緩和策を適用するよう求めている」と付け加えている。

また、CISA は3つの緊急措置を推奨している。

  • Log4j を使用しているインターネットに面したエンドポイントを列挙する。
  • 影響を受けるデバイスに関する全アラートに SOC が対応することを確認する。
  • 自動的に更新される WAF (web application firewall) を導入する。

    米国 CISA は BOD 22-01 に基づき、連邦民間行政機関に対して、2021年12月24日までに Log4Shell への対応を行うよう命じている。

    米国 CISA は、影響を受ける各組織に対して、以下を推奨している。
  • ApacheのLog4j セキュリティ脆弱性のページを、追加情報として確認する。
  • 利用可能なパッチを直ちに適用する。既知の影響を受ける製品およびパッチ情報については、CISA の GitHub リポジトリを参照する。
    ・ ミッション・クリティカルなシステム/インターネットに接続されたシステム/ネットワークに接続されたサーバーの順で、パッチを適用する。続いて、影響を受ける情報技術や運用技術の資産に優先的にパッチを適用する。
    ・ パッチが適用されるまでは、アプリケーションを起動するための Java Virtual Machine コマンドに -Dlog4j2.formatMsgNoLookups=True を追加し、log4j2.formatMsgNoLookups を true に設定する。注意:メッセージのフォーマットに Lookups を使用している場合には、システムのログ動作に影響が生じる可能性がある。また、この緩和策は Version 2.10 以降に対してのみ有効となる。
    ・ 前述のとおり、BOD 22-01 は、悪用されている既知の脆弱性カタログの一部として、2021年12月24日までに CVE-2021-44228 を緩和するよう、連邦民間機関に指示する。
  • セキュリティ・レビューを実施して、セキュリティ上の懸念/危害の有無を判断する。影響を受けた Log4j のバージョンを使用しているサービスのログ・ファイルには、ユーザーが制御する文字列が含まれている。
  • 危殆化した場合は、直ちに CISA および FBI への報告を検討する。

2021年12月24日までに CVE-2021-44228 を緩和するようにということは、クリスマス休暇前に一段落させようという方針なのでしょう。しかし、Log4j Version 2.15.0 へのアップデートと言っても、すでに 2.16.0 もあれば 2.17.0 もあるという状況のようです。 また、悪用に関する情報も続々とアップされています。そう考えると、12月24日までにとは言っても、それは一時的なものであり、延々と続く長い戦いになりそうですね。→ Log4j 関連のアーカイブを作りましたので、よろしければ ご利用ください。

%d bloggers like this: