脆弱性の概要
米国時間2021年12月9日、Apache Log4j2ログ出力ライブラリの複数のバージョンに影響を与える深刻なゼロデイ脆弱性情報が公開されました。CVE-2021-44228として登録されたこの脆弱性は、様々なブログやレポートで「Log4Shell」と呼ばれています。この脆弱性が悪用されると、影響を受ける環境で特定の文字列をログに記録することにより、任意のコードを実行(RCE:Remote Code Execution)される可能性があります。
<参考情報>
※米国時間2021年12月14日、関連する脆弱性 CVE-2021-45046 が確認されました。
本アドバイザリは、この脆弱性についても記載しております。また、弊社製品による CVE-2021-44228に対する対策は、CVE-2021-45046に対しても有効です。
※米国時間2021年12月18日、関連する脆弱性 CVE-2021-45105 が確認されました。
本アドバイザリは、この脆弱性についても記載しております。
※米国時間2021年12月28日、関連する脆弱性 CVE-2021-44832 が確認されました。
本アドバイザリは、この脆弱性についても記載しております。
トレンドマイクロ製品による対応
ここでは代表的な製品、ルールのみ記載しております。詳細につきましては、 セキュリティブログ 「Apache Log4j」ライブラリに深刻なゼロデイ脆弱性が発覚 をご参照ください。Trend Micro Deep Security / Trend Micro Cloud One - Workload Security
以下の侵入防御 (DPI) ルールで本脆弱性に対応しています。
- ルール : 1011242 - Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
本ルールは、推奨設定の検索の初期設定で適用が推奨されています。
ルールに設定されている[アプリケーションの種類]の[ポートリスト]にデフォルトで定義されている以外のポートを利用してアプリケーションが実行されている場合は、ポートリストを更新する必要があります。
詳細は参考情報に記載の製品Q&Aをご参照ください。
- ルール : 1005177 - Restrict Java Bytecode File (Jar/Class) Download
- ルール : 1008610 - Block Object-Graph Navigation Language (OGNL) Expressions Initiation In Apache Struts HTTP Request
本ルールは、この脅威に関連する可能性のある不審な活動に対する保護/検出を支援するために手動で割り当てることができるSMARTルールです。なお、仮想パッチによりブロックする場合も、ベンダから提供される修正プログラムを別途適用することを推奨しています。
以下のセキュリティログ監視ルールで本脆弱性に対応しています。
- ルール : 1011241 - Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
Trend Micro Cloud One - Network Security / TippingPoint
- Filter 40627: HTTP: JNDI Injection in HTTP Request
本ルールを利用することで、CVE-2021-44228を悪用する攻撃に特化してブロックできます。
Trend Micro Deep Discovery Inspector
- ルール:4280 - HTTP_POSSIBLE_USERAGENT_RCE_EXPLOIT_REQUEST
- ルール:4641 - CVE-2021-44228 - OGNL EXPLOIT - HTTP(REQUEST)
- ルール:4242 - POSSIBLE HTTP HEADER OGNL EXPRESSION EXPLOIT - HTTP(REQUEST)
- ルール:4243 - POSSIBLE HTTP BODY OGNL EXPRESSION EXPLOIT - HTTP (REQUEST) - Variant 2
- ルール:4653 - JAVA CLASS GET REQUEST SENSOR - HTTP(REQUEST)
※ルール4653の初期設定は、無効となっております。
お客様のシステム環境によっては、業務上の正規通信が本ルールによって過検出される可能性があります。
事前に一定期間、本ルールを有効化後、経過観察頂き、業務上の正規通信が過検出され、
監視運用上の支障とならないことをご確認の上で本ルールをご利用頂くことを推奨します。
トレンドマイクロ製品への影響
トレンドマイクロ製品への本脆弱性の影響について記載をします。下記の一覧は、2021年12月に確認されたApache Log4jの一連の脆弱性すべて(CVE-2021-44228、CVE-2021-45046、 CVE-2021-45105、CVE-2021-44832)を対象としたものです。今後、Apache Log4jの新たな脆弱性が確認された場合には、随時本アラートアドバイザリを更新してお知らせします。
影響を受けない製品・サービス一覧
| 製品名 | 影響の有無 |
|---|---|
| ウイルスバスター for Home Network | 影響なし |
| ウイルスバスター for Mac | 影響なし |
| ウイルスバスター クラウド | 影響なし |
| ウイルスバスター コーポレートエディション | 影響なし |
| ウイルスバスター ビジネスセキュリティ | 影響なし |
| ウイルスバスター ビジネスセキュリティ サービス | 影響なし |
| ウイルスバスターモバイル | 影響なし |
|
スマートホームスキャナー
| 影響なし |
| トレンドマイクロ オンラインスキャン | 影響なし |
| トレンドマイクロアカウント | 影響なし |
| トレンドマイクロ キッズセーフティ/トレンドマイクロ ウェブセキュリティ | 影響なし |
| パスワードマネージャー | 影響なし |
| フリーWi-Fiプロテクション | 影響なし |
| Active Update | 影響なし |
| Cloud App Security | 影響なし(修正済み) |
| Cloud One Application Security | 影響なし |
| Cloud One Conformity | 影響なし |
| Cloud One Container Security | 影響なし |
| Cloud One File Storage Security | 影響なし |
| Cloud One Network Security | 影響なし |
| Cloud One Workload Security | 影響なし |
| Cloud Edge | 影響なし |
| Deep Discovery Analyzer | 影響なし |
| Deep Discovery Analyzer as a Service | 影響なし |
| Deep Discovery Email Inspector | 影響なし |
| Deep Discovery Inspector | 影響なし |
| Hosted Email Security | 影響なし |
| InterScan for IBM/Lotus Domino | 影響なし |
| InterScan for Microsoft Exchange | 影響なし |
| InterScan Messaging Security Suite | 影響なし |
| InterScan Messaging Security Virtual Appliance | 影響なし |
| InterScan Web Security Suite | 影響なし |
| InterScan Web Security Virtual Appliance | 影響なし |
| InterScan WebManager | 影響なし |
| Network VirusWall Enforcer | 影響なし |
| PortalProtect | 影響なし |
| Rescue Disk | 影響なし |
| ServerProtect for EMC Celerra | 影響なし |
| ServerProtect for Linux | 影響なし |
| ServerProtect for NetApp | 影響なし |
| ServerProtect for Storage | 影響なし |
| ServerProtect for Windows | 影響なし |
| Smart Home Network Module | 影響なし |
| Smart Home Network DPI Engine | 影響なし |
| Tipping Point | 影響なし(修正済み) |
| Trend Micro Apex Central | 影響なし |
| Trend Micro Apex One (Apex One (Mac) 含む) | 影響なし |
| Trend Micro Apex One SaaS (Apex One (Mac) SaaS 含む) | 影響なし |
| Trend Micro Control Manager | 影響なし |
| Trend Micro Deep Security | 影響なし |
| Trend Micro Email Security | 影響なし(修正済み) |
| Trend Micro Endpoint Sensor | 影響なし |
| Trend Micro Mobile Network Security | 影響なし |
| Trend Micro Mobile Security | 影響なし |
| Trend Micro NAS Security | 影響なし |
| Trend Micro Policy Manager | 影響なし |
| Trend Micro Portable Security | 影響なし |
| Trend Micro Remote Manager | 影響なし |
| Trend Micro Safe Lock 2.0 | 影響なし |
| Trend Micro Safe Lock TX One Edition | 影響なし |
| Trend Micro Smart Protection Server | 影響なし |
| Trend Micro USB Security | 影響なし |
| Trend Micro Virtual Patch for Endpoint | 影響なし |
| Trend Micro Vision One | 影響なし(修正済み) |
| Trend Micro Web Security | 影響なし(修正済み) |
| Trend Micro Web Security for Yamaha Router | 影響なし |
| TXOne - EdgeFire | 影響なし |
| TXOne - EdgeIPS | 影響なし |
| TXOne - EdgeIPS-Pro | 影響なし |
| TXOne - ODC | 影響なし |
| TXOne - StellarEnforce | 影響なし |
| TXOne - StellarOne | 影響なし |
| TXOne - StellarProtect | 影響なし |
※1. 「影響なし(修正済み)」は、Trend Microで管理するサーバに影響が確認されたものの直ちに修正されたことを意味しています。お客様が作業を行う必要はございません。
※2. 弊社製品で使用しておりますサードパーティモジュールの利用状況やバージョン情報は、セキュリティリスクの観点からパッチ適用時の変更等の例外を除いて原則公開しておりません。
影響を受ける製品・サービス一覧
| 製品名 | バージョン | 修正パッチ公開予定日 |
|---|---|---|
| Deep Discovery Director | 5.3 | 公開済み |
| Deep Discovery Director | 5.2 | 公開済み |
※3. パッチの提供が必要な場合には弊社テクニカルサポートにお問い合わせください。
※4. バージョン 5.1 SP1 以前のバージョンは2021年12月31日をもってサポート終了となるため、修正パッチの公開予定はございません。
バージョン 5.2 以降にアップグレード後、修正パッチの適用を実施いただくことを強く推奨いたします。
製品のサポート終了案内(法人向け製品)
※5. 本脆弱性については管理者権限での操作による手動の対処が可能です。
詳細については弊社テクニカルサポートにお問い合わせください。
※6. 本パッチは CVE-2021-44228、CVE2021-45046、CVE-2021-45105、CVE-2021-44832の脆弱性に対応しています。
更新情報
2022年01月19日
・Deep Discovery Director の修正パッチについて情報を更新しました
・CVE-2021-44832 についての情報を追記
2022年01月19日
・Deep Discovery Inspectorの対応ルール一覧を追記しました
2021年12月27日
・Deep Discovery Director の修正パッチについて情報を更新しました
・ CVE-2021-45105についての情報を追記
2021年12月23日
・Deep Discovery Director の修正パッチリリース予定について情報を更新しました
2021年12月22日
・CVE-2021-45046 についての情報を追記いたしました。
2021年12月20日
・トレンドマイクロ キッズセーフティ/トレンドマイクロ ウェブセキュリティについて影響を受けないことが確認できたため、一覧を更新しました
2021年12月20日
・Deep Discovery Director に対する本脆弱性の影響と修正パッチのリリース予定について情報を更新しました
2021年12月17日
・Trend Micro Virtual Patch for Endpoint について影響を受けない事が確認できたため一覧を更新いたしました。
・侵入防御 (DPI) ルールをご利用いただく場合にポートリストを更新する方法について参考情報を追加いたしました。
2021年12月16日
・Trend Micro Control Manager について影響を受けない事が確認できたため一覧を更新いたしました。
2021年12月15日
・Trend Micro Safe Lock TX One Edition、TXOne シリーズ、Server Protect シリーズ、Deep Discovery Inspector 等について影響を受けない事が確認できたため一覧を更新いたしました。
2021年12月14日
・トレンドマイクロ製品による対応に記載されている Trend Micro Cloud One - Network Security / TippingPointのルール情報をFilter 40627のものに更新いたしました。
・トレンドマイクロ製品による対応に記載されている Trend Micro Deep Security / Trend Micro Cloud One - Workload Securityのルール―情報に ルール : 1008610 を追加しました。
・トレンドマイクロ製品への影響に新たに、「影響を受けない製品・サービス一覧」と「調査中の製品サービス一覧」を追加しました。