Log4jの脆弱性「Log4Shell」を特定するには?

2021年12月10日(金)にLog4ShellまたはLogJamと呼ばれる脆弱性(CVE-2021-44228)がApacheによって公開された直後、多くのメディアの見出しを飾ることになりました。サイバー攻撃者たちはどのようにLog4Shellを悪用しようとしているのか攻撃者がどのようにしてLog4Shellを悪用しようとしているか、また、Log4j2を使用している企業は、パッチを当てるだけでなく、インシデント対応を開始する必要があることについては、以前のブログで説明したとおりです

脆弱性のあるすべてのシステムへのパッチ適用は、適用が必要なシステムをすべて把握していれば簡単ですが、各システムの Log4jとそのバージョンを手作業で確認するのは時間がかかりすぎます。この投稿では、当社の脆弱性スキャンおよび管理のためのソリューション F-Secure Elements Vulnerability Managementを使用して、Log4j の脆弱性を特定する方法をご説明します。

このソリューションは、ネットワークと、その先のすべての資産、システム、およびア プリケーションを正確に検知してマッピングし、効果的なセキュリティマッピングを実現します。つまり、ネットワーク上のシステム、ソフトウェア、アプリケーションの脆弱性を特定し、分類し、報告し、優先度を付けて修正することが実現でます。

また、当社では、12月15日にApache Log4jの脆弱性(CVE-2021-44228、CVE-2021-45046)を脆弱性定義データベースに追加しました。これによりF-Secure Elements Vulnerability Managementソリューションを使用してLog4jシステムの脆弱性を簡単にスキャンして特定することができます。脆弱性の完全な網羅性は、新しく追加されたすべての脆弱性定義を一覧にしたニュースセクションから確認できます。

脆弱性のあるLog4jを簡単に特定する3つの方法

F-Secure Elements Vulnerability Managementでは、脆弱なソフトウェアのバージョンや脆弱なライブラリをスキャンしたり、無害なエクスプロイトでシステムをテストしたりすることができ、Log4j の潜在的な脆弱性を完全に可視化することができます。

Three easy methods to identify vulnerable Log4J

方法1: 脆弱なアプリケーションとバージョンを検出する

F-Secure Elements Vulnerability Managementを使用して、脆弱性のあるソフトウェアのバージョンをスキャンします。ネットワーク内にインストールされているアプリケーションとバージョンは、認証されたシステムスキャンを実行することで検出できます。または、Endpoint ProtectionとEDR機能を提供するエンドポイント上のF-Secure Elements Agentと共に脆弱性スキャンを使用することで、ネットワークの場所に関係なく、管理対象のすべてのエンドポイントを検出することもできます。以下の例では、Log4jの脆弱性によってもたらされたリモートコード実行の脆弱性によって、VMware vCenter Serverが影響を受けていることが示されています。

Three easy methods to identify vulnerable Log4J: method 1

方法2: システムをスキャンして脆弱なLog4jライブラリを検出する

認証されたシステムスキャンを使用して、WindowsとLinuxの両方で、脆弱なLog4jライブラリを特定することができます。システムスキャンは、ローカルのハードディスクをクロールし、脆弱なLog4jライブラリを検出し報告します。以下の例では、Linuxシステムから脆弱なApache Log4jライブラリを発見し、脆弱なシステム間でのアップグレードアクションに対する優先順位を簡単に決めることができます。

Three easy methods to identify vulnerable Log4J: method 2

方法3: Log4jの悪用に対してサービスをテストする

F-Secure Elements Vulnerability Managementを使ってこの脆弱性を検出するもう一つの方法は、無害なエクスプロイトテストも実行です。この方法では、認証されていないシステムスキャンと無害なエクスプロイトを使用して、すべてのWebサービスとWebサービスポート(例:80、443、8080、8081、8085)をスキャンし、それらが脆弱かどうかをテストします。この検出は、HTTPリクエストに無害なjndi:ldapのexpression値を注入することで行われ、攻撃が成功した兆候を監視し、その結果がF-Secure Elements Vulnerability Managementに報告されます。そのため、古いバージョンのLog4jを実行しているネットワーク内のシステムの完全なリストとポート番号、Log4jを最新のバージョンにアップデートするための改善策が入手できます。

Three easy methods to identify vulnerable Log4J: method 3

いち早くLog4jの脆弱性を発見する

新規のお客様は、f-secure.com/elementsから、F-Secure Elementsの30日間無料トライアル版を使って、EPPとEDRを含む脆弱性管理機能をデフォルトで有効にするようリクエストすることができます。また、脆弱性管理機能が有効ではないF-Secure Elementsをすでにご利用している場合、サブスクリプションを変更するだけで、すでに F-Secure Elements Agent を実行しているすべてのエンドポイントで脆弱性管理機能が自動的に有効になるため、簡単に脆弱性管理機能実行できます。

また、F-Secure Elements Endpoint Protectionソリューションを使用して、他の古くなったソフトウェアを識別して新しいバージョンを適用したり、F-Secure Elements EDRソリューションを使用して、予防措置を回避した攻撃を、Log4jの脆弱性やその攻撃に使用された他の手法にかかわらず、自動的に検知することができます。

技術者向けには、エフセキュアの専門家がテクニカルコミュニティの中で、Log4J 悪用後のスキャンやその後のペイロードの配信が発生した場合の侵害の指標をまとめて公開しています。また、エフセキュアのインシデント レスポンス チームは、この脆弱性に関するいくつかの追加情報も投稿しています。