News
2021/12/21ニュース

「Apache Log4j」の任意のコード実行の脆弱性(CVE-2021-44228)WafCharmでの対応に関して(続報)

「Apache Log4j」の任意のコード実行の脆弱性(CVE-2021-44228)におけるWafCharmでの対応に関して、2021年12月12日にお知らせをしておりましたが、現在の対応状況に更新がありますのでお知らせします。あわせて、CSC Managed Rules for AWS WAF についての対応状況もお知らせします。

【WafCharmの対応状況】
2021年12月10日(金)よりカスタマイズによる個別対応を実施しております。
2021年12月14日(火)よりApache Log4jの脆弱性を利用した攻撃に対応したルールを標準ルールに追加しました。また、難読化パターンの追加など継続的なルールアップデートを順次実施しています。

■AWS WAF 環境
標準ルールに対策ルールの追加完了しております。

■AWS WAF classic 環境
標準ルールに対策ルールは追加されません。
弊社の Managed Rule (Cyber Security Cloud Managed Rules for AWS WAF Classic -OWASP Set-)との併用をお勧めしますが、個別カスタマイズを承ることも可能です。

■Azure WAF 環境
標準ルールに対策ルールの追加完了しております。

■Google Cloud Armor 環境
標準ルールに対策ルールの追加完了しております。

【CSC Managed Rules for AWS WAFの対応状況】
2021年12月11日(土)にApache Log4jの脆弱性を利用した攻撃に対応したルールをManaged Rule Set に追加しました。また、難読化パターンの追加など継続的なルールアップデートを順次実施しています。

Cyber Security Cloud Managed Rules for AWS WAF -High Security OWASP Set-
https://aws.amazon.com/marketplace/pp/prodview-kyur2d2omnrlg?ref=_ptnr_web_

Cyber Security Cloud Managed Rules for AWS WAF -API Gateway / Serverless-
https://aws.amazon.com/marketplace/pp/prodview-pvxdlmlfylnoo?ref=_ptnr_web_

Cyber Security Cloud Managed Rules for AWS WAF Classic -OWASP Set-
https://aws.amazon.com/marketplace/pp/prodview-ntluedqgskq3y

なお、WAF での対策と合わせて、
該当のApache Log4jをご使用のお客様においては、
Apache Log4j公式サポート情報、JPCERTの情報に従った対応策の実施を推奨いたします。

■参考情報
・Apache Log4j公式
https://logging.apache.org/log4j/2.x/security.html

・JPCEIRT
https://www.jpcert.or.jp/at/2021/at210050.html