クラウド型 Web 脆弱性診断ツール「VAddy」、Apache Log4jの脆弱性(CVE-2021-44228)検査に緊急対応
[21/12/13]
提供元:PRTIMES
提供元:PRTIMES
株式会社ビットフォレスト(東京都千代田区 代表取締役 高尾都季一 以下、ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」において、本日よりApache Log4jの脆弱性(CVE-2021-44228)に対する検査機能をリリースしました。
VAddy Enterpriseプラン/Enterprise+プランをご利用のお客様は追加料金無しでApache Log4jの脆弱性の検査を実行できます。
なお、本機能は2022年1月31日までの期間限定提供を予定しています。
■Apache Log4jの脆弱性(CVE-2021-44228)とは
オープンソースのロギングライブラリ「Apache Log4j」に、任意のコード実行の脆弱性(CVE-2021-44228)があることが発表されました。
※JPCERT/CC Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
この脆弱性は文字通り、第三者がリモートからApach Log4jを利用しているサーバー上で任意のコードを実行できるというものです。
任意のコード実行の危険性は言うに及ばず、今回の脆弱性によって外部から入力されたアドレスに対してDNSの名前解決やLDAPサーバーへのアクセスも行われることから、DNSの名前解決時にサーバ側の環境情報(データベースパスワードやAPIキーなど)を名前解決のFQDNに含めることで環境情報の漏洩につながります。
本日配信されたクラウド型WAF「Scutum」のプレスリリースでもご案内している通り、2021年12月12日までにScutumにおいて483サイト2553件以上の攻撃を検知・防御しており、VAddyでも本脆弱性は緊急対策を必要とするものと認識しております。
※クラウド型WAF「Scutum」プレスリリース
https://www.scutum.jp/topics/images/pressrelease20211213.pdf
■VAddyにおけるApache Log4j検査
これまでのVAddyでは特定のフレームワークやライブラリを想定した検査には対応していませんでした。しかしながら、Apache Log4jは多くのJavaプログラムで利用されいているため影響が広範囲に及びうること、また本脆弱性を狙った攻撃には高度なスキルを要しないことなどから、例外的な対応として本脆弱性への検査機能を緊急リリースしました。
現在VAddy Enterpriseプラン/Enterprise+プランをご利用のお客様は、新たな設定やお手続き、追加料金なしでApache Log4jの検査をご利用いただけます。また、それ以外のプランをご利用のお客様もEnterpriseプラン/Enterprise+プランにアップグレードいただくことで本機能をご利用いただけます。
VAddyにおけるApache Log4j脆弱性の検査機能の詳細は下記のブログを参照ください。
https://blog-ja.vaddy.net/post/vaddy-log4j-scan
なお、この問題はApache Log4j 2.15.0より前の2系のバージョンでのみ発生することため、Log4jの最新バージョンへのアップデートやセキュリティパッチの適用によって回避することができることから、本機能は2022年1月31日までの期間限定提供となります。
■クラウド型Web脆弱性診断ツール「VAddy」について
「VAddy」は クラウド型 WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型 Web アプリケーション脆弱性診断ツールです。
従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持され、数人規模のスタートアップ企業から数万人規模の大企業まで幅広く利用されています。
●本文内でご紹介した製品等について
VAddy 公式Webサイト:https://vaddy.net/ja/
Scutum公式Webサイト:https://www.scutum.jp/
●お問い合わせ
株式会社ビットフォレスト
VAddy事業部
担当 西野
info@vaddy.net
03-5577-2032
企業情報
【ビットフォレストについて】
https://www.bitforest.jp/
社名:株式会社ビットフォレスト
代表者:代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発、販売
VAddy Enterpriseプラン/Enterprise+プランをご利用のお客様は追加料金無しでApache Log4jの脆弱性の検査を実行できます。
なお、本機能は2022年1月31日までの期間限定提供を予定しています。
■Apache Log4jの脆弱性(CVE-2021-44228)とは
オープンソースのロギングライブラリ「Apache Log4j」に、任意のコード実行の脆弱性(CVE-2021-44228)があることが発表されました。
※JPCERT/CC Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
この脆弱性は文字通り、第三者がリモートからApach Log4jを利用しているサーバー上で任意のコードを実行できるというものです。
任意のコード実行の危険性は言うに及ばず、今回の脆弱性によって外部から入力されたアドレスに対してDNSの名前解決やLDAPサーバーへのアクセスも行われることから、DNSの名前解決時にサーバ側の環境情報(データベースパスワードやAPIキーなど)を名前解決のFQDNに含めることで環境情報の漏洩につながります。
本日配信されたクラウド型WAF「Scutum」のプレスリリースでもご案内している通り、2021年12月12日までにScutumにおいて483サイト2553件以上の攻撃を検知・防御しており、VAddyでも本脆弱性は緊急対策を必要とするものと認識しております。
※クラウド型WAF「Scutum」プレスリリース
https://www.scutum.jp/topics/images/pressrelease20211213.pdf
■VAddyにおけるApache Log4j検査
これまでのVAddyでは特定のフレームワークやライブラリを想定した検査には対応していませんでした。しかしながら、Apache Log4jは多くのJavaプログラムで利用されいているため影響が広範囲に及びうること、また本脆弱性を狙った攻撃には高度なスキルを要しないことなどから、例外的な対応として本脆弱性への検査機能を緊急リリースしました。
現在VAddy Enterpriseプラン/Enterprise+プランをご利用のお客様は、新たな設定やお手続き、追加料金なしでApache Log4jの検査をご利用いただけます。また、それ以外のプランをご利用のお客様もEnterpriseプラン/Enterprise+プランにアップグレードいただくことで本機能をご利用いただけます。
VAddyにおけるApache Log4j脆弱性の検査機能の詳細は下記のブログを参照ください。
https://blog-ja.vaddy.net/post/vaddy-log4j-scan
なお、この問題はApache Log4j 2.15.0より前の2系のバージョンでのみ発生することため、Log4jの最新バージョンへのアップデートやセキュリティパッチの適用によって回避することができることから、本機能は2022年1月31日までの期間限定提供となります。
■クラウド型Web脆弱性診断ツール「VAddy」について
「VAddy」は クラウド型 WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型 Web アプリケーション脆弱性診断ツールです。
従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持され、数人規模のスタートアップ企業から数万人規模の大企業まで幅広く利用されています。
●本文内でご紹介した製品等について
VAddy 公式Webサイト:https://vaddy.net/ja/
Scutum公式Webサイト:https://www.scutum.jp/
●お問い合わせ
株式会社ビットフォレスト
VAddy事業部
担当 西野
info@vaddy.net
03-5577-2032
企業情報
【ビットフォレストについて】
https://www.bitforest.jp/
社名:株式会社ビットフォレスト
代表者:代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発、販売