弊社は、Log4jが潜む脆弱なアプリケーションを検出及び検証し、保護することが出来る無償のオープンソース汎用ツール「SafeLog4j」をリリースしました。https://github.com/Contrast-Security-OSS/safelog4j
このツールはお客様が開発したアプリケーションやサードパーティのアプリケーションにも対応し、ソースコードを必要とせず、WAFを回避する攻撃にも対応します。https://www.contrastsecurity.com/security-influencers/waf-rasp-and-log4shell?hsLang=en-us
このSafeLog4jは、即時にアプリケーションを保護出来るよう設計されており、お客様が独自で開発しているアプリケーションの変更や、ベンダーのアプリケーションのアップグレードも可能です。誰でも無償で利用可能で、期限もありません。
SafeLog4jの仕組み
SafeLog4jは、アプリケーション内部で動作し、実際に脆弱性の発生を阻止します。シグネチャに依存しないため、アプリケーションはあらゆるデータを安全に記録することが出来ます。
このツールは、Contrast AssessやProtectと同じJavaのエージェント型アプローチを採用しておりますが、Log4j2のCVE単体に焦点を絞っています。アプリケーションに接続後、安全なペイロードを使用して脆弱性のバージョンと攻撃性を検証し、その攻撃性が認められた場合など、必要に応じて対処します。
SafeLog4jのメリット
• 内部や外部を問わず、あらゆるアプリケーションに対応します。アプリケーションを防御するためにインターネットに接続する必要はなく、プライベートネットワーク上で攻撃用のペイロードを実行する必要もありません。アプリケーションが再起動した際に再度パッチ適用も不要です。また、Log4j2へのバージョンアップ後は、いつでもパッチを削除することが可能です。
• システムやコンテナに配置することで、そのホストで今後実行する全てのJavaのプロセスにパッチを適用することが出来ます。
• このアプローチは、単にファイルベースでLog4jライブラリを探し出すスキャンよりも正確です。スキャンによるアプローチでは、一般的な手法であるFat JARで集約した沢山のJavaクラスファイルを見逃すことになります。Fat JARが存在する場合、スキャンでは、アプリケーションが安全でないにもかかわらず、あたかも安全であると報告してしまいます。
• Shaded-JARに対応しています。シェーディングとは、アプリケーションやライブラリの開発者がクラス名を変更するために行う手法で、多くの場合、類似のライブラリとの互換性の衝突を回避するために実行されます。アプリケーションがシェーディングされたLog4j2を使用している場合、シグニチャベースによるアプローチでは、アプリケーションが安全でない場合でも、安全であると報告されてしまいます。
• 1つのJavaインスタンス上で多くの独立したアプリケーションを実行するJavaアプリケーションサーバーやサーブレット・コンテナでよく見られる、Log4j2の複数のコピーをサポートします。
使用方法
SafeLog4jのGitHubページに詳しい使用方法(英語)が記載されています。
https://github.com/Contrast-Security-OSS/safelog4j
このツールは、2つのモードで動作します。
1. エージェントモード:Javaアプリケーションの起動時に接続します。
2. コマンドモード:実行中のJavaアプリケーションに接続し、再起動することなくパッチを適用します。
コマンドモードを使用する場合は、パッチを維持するため、アプリケーションを再起動する際はシステム上でエージェントモードを使用することをお勧めします。
完全なソリューションを適用
アプリケーションを保護するには、アプリケーションおよびアプリケーションのセキュリティ管理者は、適切なパッチ管理を継続することをお勧めします。Log4j2は可能な限り安全なバージョンにアップグレードしてください。SafeLog4jは非常に効果的ですが、最善の防御策は、そもそも脆弱性を維持せず、修正し無くすことです。
大企業で実施するような汎用的なセキュリティ試験や保護を目的としたツールについては、弊社が提供するコードに対するセキュリティプラットフォームをご検討頂ければと思います。弊社では、お客様をLog4jの脅威から守るため綿密な準備を行っておりました。今後発生するインシデントに対しても、引き続き万全な準備を行っていければと考えています。https://www.contrastsecurity.com/the-platform?hsLang=en-us
SafeLog4jは、AWSインフラを保護するAWS Correttoによるホットパッチと同様の動作を元に設計されています。https://aws.amazon.com/blogs/opensource/hotpatch-for-apache-log4j/SafeLog4jでは、この機能がさらに拡張され、攻撃性検証および使用方法を簡素化しました。
SafeLog4jはGitHubよりご確認いただけます。こちらよりご確認ください。
著者:
Eric Costlow
デベロッパーリレーションズディレクター
Erik Costlowはオラクルのプリンシパル・プロダクトマネージャーで、Java 8と9のセキュリティとパフォーマンスに注力していました。彼のセキュリティに関する専門知識として、脅威モデリング、コード解析、セキュリティセンサー計測を有しています。このようなセキュリティへのアプローチを広げるために、現在はContrast Securityで活躍しています。テクノロジーに携わる前、Erikは3輪の垂直一輪車で火をジャグリングするサーカスのパフォーマーでした。
