CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応

CISA releases Apache Log4j scanner to find vulnerable apps

2021/12/22 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Log4j のリモートコード実行に関する2つの脆弱性 (CVE-2021-44228/CVE-2021-45046) の影響を受ける、Web サービスを特定するためのスキャナのリリースを発表した。

CISA は、「log4j-scanner は、CISA の Rapid Action Force チームは、オープンソース・コミュニティから派生したプロジェクトであり、log4j の脆弱性の影響を受ける可能性のある Web サービスを、組織的に特定するのに役立つ」と説明している。

このスキャン・ソリューションは、サイバー・セキュリティ企業である FullHunt が開発した、Log4Shell CVE-2021-44228 バの自動スキャン・フレームワークなどの、同種のツールをベースにしている。このツールにより、セキュリティ・チームは、ネットワーク・ホストをスキャンし、Log4j RCE を検出し、組織内でのコード実行を可能にする WAF バイパスを発見できる。

CISAは、log4j-scanner のプロジェクト・ページで、以下の機能を紹介している。

  • URL リストのサポート
  • 60以上の HTTPリクエスト・ヘッダに対するファジング
  • HTTP POST データ・パラメーターのファジング
  • JSON データ・パラメータのファジング
  • 脆弱性の発見と検証のための DNS コールバックのサポート
  • WAF バイパスのペイロード

CISA の Log4Shell への対応

今回の措置は、Apache Log4j ロギング・ライブラリに存在する、一連の深刻なセキュリティ上の欠陥を悪用する継続的な攻撃に対応するために、CISA が政府や民間の組織に対して行った第一歩に過ぎない。

今日に CISA は、世界中のサイバー・セキュリティ機関と、米国の連邦政府機関が、Log4j の脆弱性である CVE-2021-44228/CVE-2021-45046/CVE-2021-45105 に対処するための緩和策を共同勧告として発表した。

また、CISAは、脆弱なシステムを悪用して Log4Shell マルウェアに感染させようとする、脅威アクターたちの試みを阻止するために、Log4Shell 攻撃を受けやすいデバイスに早急にパッチを適用することを率先して推進している。

金曜日に CISA は、連邦民事行政機関に対し、12月23日までに Log4Shell に対するパッチを適用するよう命じた。また、この欠陥を「既知の脆弱性」カタログに追加し、12月24日までに連邦政府機関が、この深刻な欠陥を軽減するよう、迅速も対応することを求めている。

つい先日に、「WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする」という記事をポストしましたが、ひょっとすると、プロジェクトとして連携しているのかもしれません。Apache から提供されるアップデートの他にも、Google により調査された、「Log4j の影響を受ける Java Packages は 35,863 種類」など、さまざまな情報が共有されてきました。→ Log4j まとめページ

%d bloggers like this: