新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

CVE-2021-44228 - Log4j RCE 0-day mitigation

2021-12-10

1分で読了
この投稿はEnglish繁體中文한국어简体中文でも表示されます。

更新情報:3つのWAFルールすべてに、デフォルトのアクションとして ブロック が設定されました。

人気の高い  Apache Log4j ユーティリティ  (  CVE-2021-44228  )に影響を与えるゼロデイエクスプロイトが2021年12月9日に公開され、リモートコード実行(RCE)に至ります。

この脆弱性は積極的に悪用されており、Log4jを使用しているすべてのユーザーは、できるだけ早くバージョン2.15.0にアップデートする必要があります。最新のバージョンは、  Log4j のダウンロードページ  ですでに確認できます。

最新バージョンへのアップデートが不可能な場合、クラスパスからJndiLookupクラスを削除することで、この脆弱性を軽減できます。さらに、Log4j バージョン2.10およびそれ以降では、システムプロパティ  log4j2.formatMsgNoLookups または  LOG4J_FORMAT_MSG_NO_LOOKUPS 環境変数を  true に設定することで、この問題を軽減できます。

また、Cloudflare WAFをご利用のお客様は、新たに導入された3つのルールを活用することで、悪用される可能性を軽減することができます。

ルールID

説明

デフォルトアクション

100514 (旧バージョンのWAF)6b1cc72dff9746469d4695a474430f12 (新しいWAF)

Log4jのヘッダ

BLOCK

100515 (旧バージョンのWAF)0c054d4e4dd5455c9ff8f01efe5abb10 (新しいWAF)

Log4jのボディ

BLOCK

100516 (旧バージョンのWAF)5f6744fa026a4638bda5b3d7d5e015dd (新しいWAF)

Log4jのURL

BLOCK

この軽減措置は、HTTPヘッダー、ボディ、URLをそれぞれ検査する3つのルールに分かれています。

引き続き状況を確認しており、WAFで管理されているルールを適宜更新していきます。

脆弱性の詳細については、公式の  Log4j のセキュリティページ  に記載されています。

影響の対象

Log4jは、Apache Software Foundationが管理する、Javaベースの強力なロギングライブラリです。

すべての Log4j 2.0-beta9 から 2.14.1 までのバージョンにおいて、構成、ログメッセージ、およびパラメータで使用される JNDI 機能は、攻撃者に悪用され、リモートでコードが実行される可能性があります。具体的には、ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAP サーバーから読み込んだ任意のコードを実行できます。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
VulnerabilitiesZero Day ThreatsWAF RulesセキュリティLog4JLog4Shell

Xでフォロー

Cloudflare|@cloudflare

関連ブログ投稿

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年10月06日 23:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...

2024年10月02日 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....