« ドイツ BSI 量子セキュア暗号の現状に関するガイドライン | Main | 公安調査庁 内外情勢の回顧と展望(令和4年版) »

2021.12.20

米国 CISA 緊急指令22-02 Apache Log4jの脆弱性に対応せよ

こんにちは、丸山満彦です。

各国の政府もApache Log4jの脆弱性について点検と対応を呼びかけていますね。。。

米国の場合は、

(1) 現在、外部のネットワーク環境で脅威者がこれらの脆弱性を悪用している

(2) 脆弱性が悪用される可能性が高い

(3) 連邦政府の企業内で影響を受けるソフトウェアが広く使われている

(4) 政府機関の情報システムが侵害される可能性が高い

(5) 侵害が成功した場合の潜在的な影響

等を踏まえて、CISAが連邦政府機関に対して期限を切ってApache Log4jの脆弱性に対応するよう緊急指令を出していますね。。。

 

● CISA

・2021.12.17 CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO MITIGATE APACHE LOG4J VULNERABILITIES

CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO MITIGATE APACHE LOG4J VULNERABILITIES CISA、連邦政府機関にapache log4jの脆弱性を緩和するよう求める緊急指令を発行
Agency Strongly Urges All Organizations to Take Immediate Action to Protect their Networks 同庁はすべての組織に対し、自社のネットワークを保護するために直ちに行動を起こすことを強く要請
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) issued Emergency Directive (ED) 22-02 today requiring federal civilian departments and agencies to assess their internet-facing network assets for the Apache Log4j vulnerabilities and immediately patch these systems or implement other appropriate mitigation measures. This Directive will be updated to further drive additional mitigation actions.    ワシントン - Cybersecurity and Infrastructure Security Agency(CISA)は本日、緊急指令(ED)22-02を発行し、連邦の文民部門および機関に対し、インターネットに接続するネットワーク資産にApache Log4jの脆弱性がないかどうかを評価し、これらのシステムに直ちにパッチを適用するか、その他の適切な緩和策を実施するよう求めました。 この指令は、追加の緩和策をさらに推進するために更新される予定です。    
The directive is in response to the active exploitation by multiple threat actors of vulnerabilities found in the widely used Java-based logging package Log4j. Since the vulnerabilities were first discovered, CISA has been working with our partners in the public and private sectors to identity vulnerable products, raise awareness, and encourage all potentially affected organizations to take immediate action.   この指令は、広く使われているJavaベースのログ収集パッケージであるLog4jに見つかった脆弱性が、複数の脅威主体によって積極的に利用されていることを受けたものです。脆弱性が発見されて以来、CISAは官民のパートナーと協力して、脆弱性のある製品を特定し、認知度を高め、影響を受ける可能性のあるすべての組織に直ちに対策を講じるよう呼びかけてきました。  
“The log4j vulnerabilities pose an unacceptable risk to federal network security,” said CISA Director Jen Easterly. “CISA has issued this emergency directive to drive federal civilian agencies to take action now to protect their networks, focusing first on internet-facing devices that pose the greatest immediate risk. CISA also strongly urges every organization large and small to follow the federal government’s lead and take similar steps to assess their network security and adapt the mitigation measures outlined in our Emergency Directive. If you are using a vulnerable product on your network, you should consider your door wide open to any number of threats.”       CISAのディレクターであるジェン・イースタリー氏は、次のように述べています。「log4jの脆弱性は、連邦政府のネットワークセキュリティに受け入れがたいリスクをもたらします。 CISAは、連邦政府の民間機関がネットワークを保護するために今すぐ行動を起こすよう、この緊急指令を出しました。 また、CISAは、規模の大小を問わず、すべての組織が連邦政府に倣い、同様の手順でネットワークセキュリティを評価し、緊急指令に記載されている緩和策を適応することを強く求めています。 脆弱な製品をネットワーク上で使用している場合は、あらゆる脅威に対してドアが大きく開いていると考えるべきです」。     
This emergency action is based on: (1) the current exploitation of these vulnerabilities by threat actors in external network environments, (2) the likelihood of the vulnerabilities being exploited, (3) the prevalence of the affected software in the federal enterprise, (4) the high potential for a compromise of agency information systems, and (5) the potential impact of a successful compromise.       この緊急措置は、以下に基づいています。今回の緊急措置は、(1)現在、外部のネットワーク環境で脅威者がこれらの脆弱性を悪用していること、(2)脆弱性が悪用される可能性が高いこと、(3)連邦政府の企業内で影響を受けるソフトウェアが広く使われていること、(4)政府機関の情報システムが侵害される可能性が高いこと、(5)侵害が成功した場合の潜在的な影響などを考慮したものです。      
CISA has set up a dedicated webpage with Log4j mitigation guidance and resources for network defenders, as well as a community-sourced GitHub repository of affected devices and services. CISAは、Log4j緩和策のガイダンスとネットワーク防御者のためのリソースを掲載した専用ウェブページを開設し、影響を受ける機器やサービスを集めたコミュニティソースのGitHubリポジトリも用意しました。     
CISA encourages public and private sector organizations to utilize these resources and take immediate steps to mitigate against this vulnerability.  Read the full Emergency Directive (ED) 22-02 here.   CISAは、公共機関や民間企業がこれらのリソースを活用し、この脆弱性を緩和するための対策を早急に講じることを推奨しています。  緊急指令(ED)22-02の全文はこちらを参照してください。  

 

緊急指令 22-02

・2021.12.17 EMERGENCY DIRECTIVE 22-02 MITIGATE APACHE LOG4J VULNERABILITY

EMERGENCY DIRECTIVE 22-02 MITIGATE APACHE LOG4J VULNERABILITY 緊急指令22-02 Apache Log4jの脆弱性に対応せよ
Section 3553(h) of title 44, U.S. Code, authorizes the Secretary of Homeland Security, in response to a known or reasonably suspected information security threat, vulnerability, or incident that represents a substantial threat to the information security of an agency, to “issue an emergency directive to the head of an agency to take any lawful action with respect to the operation of the information system, including such systems used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information, for the purpose of protecting the information system from, or mitigating, an information security threat.” 44 U.S.C. § 3553(h)(1)–(2). Section 2205(3) of the Homeland Security Act of 2002, as amended, delegates this authority to the Director of the Cybersecurity and Infrastructure Security Agency. 6 U.S.C. § 655(3). Federal agencies are required to comply with these directives. 44 U.S.C. § 3554 (a)(1)(B)(v). These directives do not apply to statutorily defined “national security systems” nor to systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(d), (e)(2), (e)(3), (h)(1)(B). U.S.コード 第44章 第3553(h)項は、Homepage長官に権限を与えています。コードのタイトル44の3553(h)項は、国土安全保障長官が、機関の情報セキュリティに対する実質的な脅威を示す既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、または事件に対応して、「情報セキュリティ上の脅威から情報システムを保護する、または情報セキュリティ上の脅威を軽減する目的で、機関の情報を収集、処理、保存、送信、普及、またはその他の方法で維持する、機関を代表して他の事業体が使用または運営するシステムを含む情報システムの運用に関して、合法的な行動をとるために、機関の長に緊急指令を発行する」ことを許可しています(U.S.コード 第44章 第3553条(h)項(1)-(2))。改正2002年国土安全保障法第2205条(3)は、この権限をサイバーセキュリティ・インフラセキュリティ庁長官に委任しています。( U.S.コード 第6章 第655条(3))。連邦機関はこれらの指令を遵守することが求められます。(U.S.コード 第44章 第3554条 (a)(1)(B)(v))。これらの指令は、法律で定義された「国家安全保障システム」には適用されず、国防総省や情報コミュニティが運営するシステムにも適用されません(U.S.コード 第44章 第3554条 (d), (e)(2), (e)(3), (h)(1)(B))。
Background 背景
series of vulnerabilities in the popular Java-based logging library Log4j are under active exploitation by multiple threat actors. 人気の高いJavaベースのログ収集ライブラリLog4jには一連の脆弱性があり、複数の脅威関係者によって活発に利用されています。
Exploitation of one of these vulnerabilities allows an unauthenticated attacker to remotely execute code on a server. Successful exploitation can occur even if the software accepting data input is not written in Java; such software is able to pass malicious strings to other (back end) systems that are written in Java. これらの脆弱性を悪用すると、認証されていない攻撃者がリモートでサーバ上のコードを実行することができます。このようなソフトウェアは、悪意のある文字列をJavaで記述された他の(バックエンド)システムに渡すことができます。
CISA has determined that this vulnerability poses an unacceptable risk to Federal Civilian Executive Branch agencies and requires emergency action. This determination is based on the current exploitation of this vulnerability by threat actors in the wild, the likelihood of further exploitation of the vulnerability, the prevalence of the affected software in the federal enterprise, and the high potential for a compromise of agency information systems. CISAは、この脆弱性が連邦文民執行機関に許容できないリスクをもたらすものであり、緊急措置が必要であると判断しました。この判断は、現在、脅威者がこの脆弱性を悪用していること、脆弱性がさらに悪用される可能性があること、影響を受けるソフトウェアが連邦企業内で普及していること、そして機関の情報システムが危険にさらされる可能性が高いことに基づいています。
This Emergency Directive does not affect or supersede related requirements imposed by Binding Operational Directives 22-01 or 19-02 except as noted in Action 3 below. As defined by BOD 22-01, CVE-2021-44228 has been added to CISA’s catalog of known exploited vulnerabilities (KEVs). CISA will continue to add KEVs related to this vulnerability as needed. Off-the-shelf applications must be updated in accordance with BOD 22-01 requirements as updates become available for various software products. この緊急指令は、以下のアクション3に記載されている場合を除き、統合運用指令 (BOD)  22-01または19-02によって課される関連要件に影響を与えたり、これに取って代わるものではありません。BOD 22-01で定義されているように、CVE-2021-44228はCISAの既知の悪用される脆弱性(KEV)のカタログに追加されました。CISAは、必要に応じてこの脆弱性に関連するKEVを追加していきます。既製のアプリケーションは、様々なソフトウェア製品のアップデートが利用可能になった時点で、BOD 22-01の要件に従ってアップデートする必要があります。
While the current version of this emergency directive prioritizes solution stacks accepting data input from the internet, CISA strongly recommends the same actions against the entirety of agencies’ infrastructure. For the purposes of this directive, a solution stack is defined as a collection of connected IT technologies (hardware, firmware, and software) that require no other IT technologies to provide a service. As this is an evolving situation, CISA will issue supplemental direction applicable to broader agency-owned information technologies (IT) and operational technologies (OT). この緊急指令の現在のバージョンでは、インターネットからのデータ入力を受け付けるソリューションスタックを優先していますが、CISAは、機関のインフラ全体に対しても同様の対応を行うことを強く推奨します。この指令では、ソリューション・スタックとは、サービスを提供するために他のIT技術を必要としない、接続されたIT技術(ハードウェア、ファームウェア、ソフトウェア)の集合体と定義されています。これは発展途上の状況であるため、CISAは、より広範な省庁所有の情報技術(IT)および運用技術(OT)に適用される補足的な指示を発行する予定です。
Required Actions 必要なアクション
By 5 pm EST on December 23, 2021: 2021年12月23日午後5時(米国東部標準時)までに
1. Enumerate all solution stacks accepting data input from the internet. インターネットからのデータ入力を受け付けるすべてのソリューションスタックを列挙する。
2. Evaluate all software assets in identified solution stacks against the CISA-managed GitHub repository to determine whether Log4j is present in those assets and if so, whether those assets are affected by the vulnerability. 特定されたソリューションスタック内のすべてのソフトウェア資産を、CISAが管理するGitHubリポジトリと照合して評価し、それらの資産にLog4jが存在するかどうか、存在する場合はその資産が脆弱性の影響を受けるかどうかを判断する。
a. If the software product is not listed in the repository, request addition by submitting a “pull” request using the link on the GitHub page[1]. ソフトウェア製品がリポジトリに掲載されていない場合は、GitHubページ[1]のリンクから「pull」リクエストを送信して追加を依頼する。
3. For all software assets that agencies identify as affected by CVE-2021-44228: 機関がCVE-2021-44228の影響を受けると特定したすべてのソフトウェア資産について、
a. Update assets for which patches have been provided. Remediation timelines prescribed in BOD 22-01 “may be adjusted in the case of grave risk to the Federal Enterprise.” Given the criticality of CVE-2021-44228, agencies must immediately patch any vulnerable internet-facing devices for which patches are available, under an emergency change window. パッチが提供されている資産を更新する。BOD 22-01に規定されている修復スケジュールは、「連邦政府機関に重大なリスクがある場合には調整されることがある」とされている。CVE-2021-44228の重大性に鑑み、政府機関は、パッチが提供されている脆弱なインターネット接続機器に対して、緊急変更枠で直ちにパッチを適用しなければならない。
OR または
b. Mitigate the risk of vulnerability exploitation using one of mitigating measures provided at: link. リンク先の緩和策のいずれかを用いて、脆弱性の悪用のリスクを軽減する。
OR または
c. Remove affected software assets from agency networks. 影響を受けるソフトウェア資産をネットワークから削除する。
4. For all solution stacks containing software that agencies identified as affected: assume compromise, identify common post-exploit sources and activity, and persistently investigate and monitor for signs of malicious activity and anomalous traffic patterns (e.g., JDNI LDAP/RMI outbound traffic, DMZ systems initiating outbound connections). 機関が影響を受けると特定したソフトウェアを含むすべてのソリューションスタックについて、侵害を想定し、侵害後の一般的なソースと活動を特定し、悪意のある活動の兆候と異常なトラフィックパターン(JDNI LDAP/RMI送信トラフィック、送信接続を開始するDMZシステムなど)を継続的に調査・監視する。
By 5 pm EST on December 28, 2021: 2021年12月28日午後5時(米国東部標準時)までに
5. Report all affected software applications identified in (3) above using the provided template, including: 上記(3)で特定された影響を受けるすべてのソフトウェアアプリケーションを、提供されたテンプレートを使用して、以下を報告する。
 1. Vendor name ベンダー名
 2. Application name and version アプリケーション名とバージョン
 3. Action taken (e.g. updated, mitigated, removed from agency network) 実施した措置(例:更新、緩和、機関のネットワークからの削除)
6. Confirm with vulnerability@cisa.dhs.gov that your agency’s Internet-accessible IP addresses on file with CISA are up to date, as required by CISA Binding Operational Directive 19-02. CISA BOD 19-02で要求されているように、CISAに登録されている自機関のインターネット・アクセス可能なIPアドレスが最新であることをvulnerability@cisa.dhs.govで確認する。
These required actions apply to agency applications in any information system, including an information system used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information (i.e. all applications in agency ATO boundaries). これらの必要な措置は、機関の情報を収集、処理、保存、送信、配布、またはその他の方法で維持する、機関に代わって他の事業体が使用または運営する情報システムを含む、あらゆる情報システム内の機関アプリケーションに適用される(すなわち、機関のATO境界内のすべてのアプリケーション)。
For federal information systems hosted in third-party environments (such as cloud) each agency is responsible for maintaining an inventory of its information systems hosted in those environments (FedRAMP Authorized or otherwise), conducting all necessary reporting to CISA accounting for such systems, and working with service providers directly for status updates pertaining to, and to ensure compliance with, this Directive. サードパーティ環境(クラウドなど)でホストされている連邦政府の情報システムについては、各機関は、これらの環境(FedRAMP 認可またはその他)でホストされている情報システムのインベントリを維持し、当該システムの CISA 会計に必要なすべての報告を行い、本指令に関連するステータスの更新や本指令への準拠を確保するためにサービス・プロバイダーと直接連携する責任を負う。
[1] Creating a pull request - GitHub Docs, (web)  [1] Creating a pull request - GitHub Docs, (web) 
CISA Actions CISAの対応
CISA will continue to work with our partners to monitor for active exploitation associated with these vulnerabilities and will notify agencies and provide additional guidance, as appropriate. CISAは、パートナーと協力して、これらの脆弱性に関連した活発な悪用を監視し続け、必要に応じて政府機関に通知し、追加のガイダンスを提供する。
CISA will provide technical assistance to agencies who are without internal capabilities sufficient to comply with this Directive. CISAは、本指令に準拠するのに十分な内部能力を持たない機関に技術支援を提供する。
By February 15, 2022, CISA will provide a report to the Secretary of Homeland Security and the Director of the Office of Management and Budget (OMB) identifying cross-agency status and outstanding issues. 2022年2月15日までに、CISAは国土安全保障長官と行政管理予算局(OMB)長官に、省庁横断的な状況と未解決の問題を示す報告書を提出する。
Duration 期間
This Emergency Directive remains in effect until CISA determines that all agencies operating affected software have performed all required actions from this Directive or the Directive is terminated through other appropriate action. この緊急指令は、影響を受けるソフトウェアを運用するすべての機関がこの指令から必要なすべての行動を実行したとCISAが判断するか、他の適切な行動によって指令が終了するまで有効である。

 

Fig1_20210731004501


● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

|

« ドイツ BSI 量子セキュア暗号の現状に関するガイドライン | Main | 公安調査庁 内外情勢の回顧と展望(令和4年版) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ドイツ BSI 量子セキュア暗号の現状に関するガイドライン | Main | 公安調査庁 内外情勢の回顧と展望(令和4年版) »