Apacheは、この脆弱性に対応したLog4j 2.16.0をリリースしました(更新日:12/14)。McAfee Enterprise では、影響のあるシステムにこの更新プログラムを適用し、お使いの環境で関連する Log4j の設定を確認し、この脆弱性の対象となる可能性のあるワークフローを特定することを推奨します。サードパーティ製アプリケーションの場合は、その手順についてアプリケーション ベンダーに相談してください。
攻撃者が Log4Shell を使用できる多数の方法が観察されています。この脆弱性の範囲と規模は広く、リスクを回避する唯一の決定的な方法は、ベンダーのパッチを適用し、アプリケーションの設定を見直し、Apacheの勧告に従って脆弱性が緩和されていることを確認することです。すべての主要なゼロデイと同様に、最善のセキュリティ対策は、すでにスキャンされ、標的になっていることを想定し、是正措置や緩和措置を最優先で適用することです。McAfee Enterprise は、この脅威をカバーし、セキュリティ管理者が環境を評価する際に調査を有効にできるよう、たゆまぬ努力を続けています。
この脆弱性の影響を受ける McAfee Enterprise 製品はありますか?
McAfee Enterprise は、お客様への潜在的な影響とリスクを評価するために、当社のポートフォリオ内のすべての製品を確認しています。 2021年12月13日、McAfee Enterpriseは正式なSecurity Bulletinsを発行し、この脆弱性の影響を受ける製品に関するガイダンスをお客様に提供するとともに、Log4jコンポーネントを含まない製品や、その他の方法でリスクがない製品の概要を説明しました。
お使いの環境の製品が影響を受けるかどうか、回避策、緩和策の手順、その他のMcAfee Enterprise製品関連情報については、以下をご覧ください。
SB10377 - REGISTERED - Security Bulletin - McAfee Enterprise products' status for "Log4Shell" (CVE-2021-44228).
今後も最新情報を随時提供していきます。
McAfee Enterprise製品のソリューションはどのように役立ちますか?
ソフトウェアやオペレーティング・システムにパッチやセキュリティ・アップデートが適用されていることを確認することをお勧めします。また、エントリーレベルの脅威に対する一般的な対策を評価し、お客様の環境に適した形で実施することをお勧めします。詳細については、以下を参照してください。
KB91836 - エントリベクターの脅威に対する対策
これらの方法の多くは、脆弱性そのものに対処するものではありませんが、アクターの侵入後の能力を著しく阻害し、セキュリティ管理者が適切に対応するための可視性を提供することができます。
McAfee Enterpriseは、当社のセキュリティソリューションのポートフォリオ全体で製品のカバー率を評価しています。この記事は、適用可能な機会や対策が特定され次第、更新されます。
製品機能は現在、以下のコンポーネントに対応しています。
1.Detection and Response
エンドポイントセキュリティ(ENS)、VirusScan Enterprise(VSE)、McAfee Web Gateway(MWG)。
2021年12月12日、McAfee Enterpriseは
V3 AMCore content 4648, MEDDAT 4818.0000 及びV2 DAT 10196をリリースしました。
一般的な検出は、Exploit-CVE-2021-44228.Cというタイトルで提供されており、これらの検出は、潜在的に悪意のあるjndi:ldaps、jndi:ldap、jndi:rmi、およびjndi:dnsの文字列の使用を特定しています。
検出されたプログラムは「Potentially Unwanted Program」として表示され、スキャナーが「Unwanted Program」の検出を尊重するようにポリシーを見直すことをお勧めします。
望まれないプログラムの検出を有効にする
ENS: On-Access Scan Policy, Process Settings (該当する場合は、すべてのリスクプロファイルに対して設定が調整されていることを確認してください。)
VSE: オンアクセススキャンポリシー
また、この脆弱性を悪用した活動関連するサンプルについても検出可能です。このリストはすべてを網羅しているわけではなく、サンプルは継続的に検出評価されています。
MD5 |
検出名 |
0579a8907f34236b754b07331685d79e |
Linux/Black-T.a |
07b7746b922cf7d7fa821123a226ed36 |
Linux/Coinminer.bl |
648effa354b3cbaad87b45f48d59c616 |
LINUX/Kinsing.a |
ccef46c7edf9131ccffc47bd69eb743b |
LINUX/Downloader.bb |
お客様は、すべてのソリューションに最新のコンテンツが提供されていることを確認する必要があり、これは毎日行われています。これにより、補償内容が追加されても、すぐに利用できるようになり、保護を提供することができます。
Network Security Platform (NSP) User-Defined Signature: ユーザー定義シグネチャ(UDS)は、既知の脆弱性に対する即時的な解決策として提供されています。
このUDSの詳細については、以下を参照してください。KB55447 - REGISTERED - Network Security Platform User-Defined Signature Releases.
2. 認識、脆弱性評価、調査
MVISION Endpoint Detection and Response (EDR), McAfee Active Response (MAR):
リアルタイム検索や履歴検索機能を活用して、環境内の脆弱なシステムやエクスプロイト活動をプロアクティブに認識することができます。
McAfee Enterprise は、管理者が調査に役立つと思われる有用なリアルタイム検索クエリの GitHub リポジトリを維持しています。
詳細については、 McAfee Enterprise's RTS Queries GitHub. を参照してください。
ビルドインコレクターは、次のような検索を可能にします。
- 報告された Log4j の脆弱なバージョンのハッシュによる自己評価は、基礎的なクエリで達成することができます。
例:
HostInfo os, hostname, platform
AND Files sha256, full_name
WHERE HostInfo platform equals "Linux"
AND Files sha256 equals"bf4f41403280c1b115650d470f9b260a5c9042c04d9bcc2a6ca504a66379b2d6"
OR Files sha256 equals "bf4f41403280c1b115650d470f9b260a5c9042c04d9bcc2a6ca504a66379b2d6"
OR Files sha256 equals "58e9f72081efff9bdaabd82e3b3efe5b1b9f1666cefe28f429ad7176a6d770ae"
OR Files sha256 equals "ed285ad5ac6a8cf13461d6c2874fdcd3bf67002844831f66e21c2d0adda43fa4"
OR Files sha256 equals "dbf88c623cc2ad99d82fa4c575fb105e2083465a47b84d64e2e1a63e183c274e"
OR Files sha256 equals "a38ddff1e797adb39a08876932bc2538d771ff7db23885fb883fec526aff4fc8"
OR Files sha256 equals "7d86841489afd1097576a649094ae1efb79b3147cd162ba019861dfad4e9573b"
OR Files sha256 equals "4bfb0d5022dc499908da4597f3e19f9f64d3cc98ce756a2249c72179d3d75c47"
OR Files sha256 equals "473f15c04122dad810c919b2f3484d46560fd2dd4573f6695d387195816b02a6"
OR Files sha256 equals "b3fae4f84d4303cdbad4696554b4e8d2381ad3faf6e0c3c8d2ce60a4388caa02"
OR Files sha256 equals "dcde6033b205433d6e9855c93740f798951fa3a3f252035a768d9f356fde806d"
OR Files sha256 equals "85338f694c844c8b66d8a1b981bcf38627f95579209b2662182a009d849e1a4c"
OR Files sha256 equals "db3906edad6009d1886ec1e2a198249b6d99820a3575f8ec80c6ce57f08d521a"
OR Files sha256 equals "ec411a34fee49692f196e4dc0a905b25d0667825904862fdba153df5e53183e0"
OR Files sha256 equals "a00a54e3fb8cb83fab38f8714f240ecc13ab9c492584aa571aec5fc71b48732d"
OR Files sha256 equals "c584d1000591efa391386264e0d43ec35f4dbb146cad9390f73358d9c84ee78d"
OR Files sha256 equals "8bdb662843c1f4b120fb4c25a5636008085900cdf9947b1dadb9b672ea6134dc"
OR Files sha256 equals "c830cde8f929c35dad42cbdb6b28447df69ceffe99937bf420d32424df4d076a"
OR Files sha256 equals "6ae3b0cb657e051f97835a6432c2b0f50a651b36b6d4af395bbe9060bb4ef4b2"
OR Files sha256 equals "535e19bf14d8c76ec00a7e8490287ca2e2597cae2de5b8f1f65eb81ef1c2a4c6"
OR Files sha256 equals "42de36e61d454afff5e50e6930961c85b55d681e23931efd248fd9b9b9297239"
OR Files sha256 equals "4f53e4d52efcccdc446017426c15001bb0fe444c7a6cdc9966f8741cf210d997"
OR Files sha256 equals "df00277045338ceaa6f70a7b8eee178710b3ba51eac28c1142ec802157492de6"
OR Files sha256 equals "28433734bd9e3121e0a0b78238d5131837b9dbe26f1a930bc872bad44e68e44e"
OR Files sha256 equals "cf65f0d33640f2cd0a0b06dd86a5c6353938ccb25f4ffd14116b4884181e0392"
OR Files sha256 equals "5bb84e110d5f18cee47021a024d358227612dd6dac7b97fa781f85c6ad3ccee4"
OR Files sha256 equals "ccf02bb919e1a44b13b366ea1b203f98772650475f2a06e9fac4b3c957a7c3fa"
OR Files sha256 equals "815a73e20e90a413662eefe8594414684df3d5723edcd76070e1a5aee864616e"
OR Files sha256 equals "10ef331115cbbd18b5be3f3761e046523f9c95c103484082b18e67a7c36e570c"
OR Files sha256 equals "dc815be299f81c180aa8d2924f1b015f2c46686e866bc410e72de75f7cd41aae"
OR Files sha256 equals "9275f5d57709e2204900d3dae2727f5932f85d3813ad31c9d351def03dd3d03d"
OR Files sha256 equals "f35ccc9978797a895e5bee58fa8c3b7ad6d5ee55386e9e532f141ee8ed2e937d"
OR Files sha256 equals "5256517e6237b888c65c8691f29219b6658d800c23e81d5167c4a8bbd2a0daa3"
OR Files sha256 equals "d4485176aea67cc85f5ccc45bb66166f8bfc715ae4a695f0d870a1f8d848cc3d"
OR Files sha256 equals "3fcc4c1f2f806acfc395144c98b8ba2a80fe1bf5e3ad3397588bbd2610a37100"
OR Files sha256 equals "057a48fe378586b6913d29b4b10162b4b5045277f1be66b7a01fb7e30bd05ef3"
OR Files sha256 equals "5dbd6bb2381bf54563ea15bc9fbb6d7094eaf7184e6975c50f8996f77bfc3f2c"
OR Files sha256 equals "c39b0ea14e7766440c59e5ae5f48adee038d9b1c7a1375b376e966ca12c22cd3"
OR Files sha256 equals "6f38a25482d82cd118c4255f25b9d78d96821d22bab498cdce9cda7a563ca992"
OR Files sha256 equals "54962835992e303928aa909730ce3a50e311068c0960c708e82ab76701db5e6b"
OR Files sha256 equals "e5e9b0f8d72f4e7b9022b7a83c673334d7967981191d2d98f9c57dc97b4caae1"
OR Files sha256 equals "68d793940c28ddff6670be703690dfdf9e77315970c42c4af40ca7261a8570fa"
OR Files sha256 equals "9da0f5ca7c8eab693d090ae759275b9db4ca5acdbcfe4a63d3871e0b17367463"
OR Files sha256 equals "006fc6623fbb961084243cfc327c885f3c57f2eba8ee05fbc4e93e5358778c85"
Log4j 2.x バージョンのファイルハッシュは GitHub から提供されています。
- Log4jの脆弱なバージョンがインストールされているシステムをファイル名で特定します。
例えば Files and hostInfo hostname ここで、Files name は log4j を含む。
ファイル名は、バージョンやLog4jがベンダーのソリューションで提供されている場合、異なる場合があります。
- 既知のコールアウト・ドメインへのアウトバウンド通信の試みを特定する
- エクスプロイトのペイロードに関連するIOC(Indicators of Compromise)を特定する。
注:Linuxでは、.JARファイルはデフォルトでファイルハッシュから除外されます。環境を正確に把握するには、EDRポリシーの「ファイルのハッシュ化」、「Linuxの拡張子を無視する」の設定から.JARを削除してください。
この変更は、ファイルシステムを完全に再構築する必要はありません。
McAfee SIEM
McAfee Enterpriseは、Exploit Content Pack version 4.1.0をリリースし、ルールサーバーからダウンロードできるようになりました。
このコンテンツパックには、「Exploit - Possible Log4Shell Exploit」と題された新しいアラームが含まれています。このアラームは、特定のjndi文字列のURLとUser_Agentフィールドを調べ、エクスプロイトの可能性があることを知らせます。
SIEM Exploit Content pack 4.1.0の詳細については、こちらを参照してください。KB85403 - REGISTERED - SIEM Content Packs for Exploit.
3. Threat Intelligence
MVISION Insights:
Threat Campaign: Log4Shell - A Log4j Vulnerability - CVE-2021-44228 (閲覧可能 Insightsプレビュー)
対象外と判断された製品機能
- エンドポイントセキュリティ(ENS) Exploit preventionエクスプロイトプリベンション