アメリカのサイバーセキュリティ・インフラ安全保障局(CISA)は、CVE-2021-44228およびCVE-2021-45046として追跡されている2つのApache Log4jリモートコード実行脆弱性の影響を受けるWebサービスを特定するためのスキャナをリリースしたことを発表しました。
「log4j-scannerは、CISAのRapid Action Forceチームがオープンソースコミュニティの他のメンバーから派生したプロジェクトで、log4jの脆弱性の影響を受ける潜在的に脆弱なウェブサービスを組織が特定できるようにするものです」と説明します。
このスキャンソリューションは、サイバーセキュリティ企業のFullHunt社が開発したCVE-2021-44228バグの自動スキャンフレームワーク(Log4Shellと呼ばれています)など、同様のツールをベースにしています。
このツールにより、セキュリティチームは、Log4j RCEの公開についてネットワークホストをスキャンし、脅威者が組織環境内でコードを実行することを可能にするWebアプリケーションファイアウォール(WAF)のバイパスを発見することができます。
CISAは、log4j-scannerのプロジェクト・ページで、以下の機能を強調しています。
- URLリストのサポート
- 60以上のHTTPリクエストヘッダに対応(従来は3~4ヘッダ)
- HTTP POSTデータパラメータのファジング
- JSONデータパラメータのファジング
- 脆弱性発見・検証のためのDNSコールバックをサポート
- WAFバイパスのペイロード
CISAのLog4Shellへの対応
CISAは、ApacheのLog4jロギングライブラリに存在する重大なセキュリティ上の欠陥を悪用した攻撃への政府および民間組織による対応を支援するための最新の措置です。
また、世界中のサイバーセキュリティ機関と米国連邦政府機関が本日発表した、Log4jの脆弱性「CVE-2021-44228」「CVE-2021-45046」「CVE-2021-45105」に対処するための緩和ガイダンスの背景には、同機関の存在があります。
また、CISAは、脅威者がLog4Shellの脆弱性を突いてマルウェアに感染させようとする試みを阻止するため、Log4Shell攻撃に脆弱なデバイスに緊急にパッチを適用することを率先して推進しています。
2021年12月17日、CISAは、連邦政府民間行政機関に対し、2021年12月23日までLog4Shellに対するパッチを適用するよう命じました。また、サイバーセキュリティ機関は、最近、この欠陥を「Known Exploited Vulnerabilities Catalog」に追加し、2021年12月24日まで、この重大な欠陥を軽減するために連邦政府機関に迅速な行動を要求しています。