vExperts Advent Calendar 2021 に参加してます。
https://adventar.org/calendars/6689
セキュリティの情報は、日本語訳を待って・・・というのはおすすめしません。
サイバーセキュリティは国境を問わずやってきますので、待ってくれとは通用しないのです。
そこで、皆さんに日々見ていただきたいサイトがあります。
VMware Security Adovisories(https://www.vmware.com/security/advisories.html)というページです。
最新のVMware製品に対する脆弱性情報が公開されています。
こちら、日本語版はありません。
脆弱性の一覧を見てみると、Severity(重大度・深刻度)というのがあります。
こちら、5つに重み付けがされています。
それでは、最近最もヤバいと言われている Log4j 問題(VMSA-2021-0028:Critical)を例に、目を通すポイントを紹介します。
まず、CVSSスコアという深刻度が 10段階評価の 9〜10 という最高位にランクされています。 ヤバいです。
このCVSSスコアは、第三者機関が重要度を判定して公開しており、情報セキュリティに3要素「CIA」に基づき評価されています。
・機密性(Confidentiality Impact)
・完全性(Integrity Impact)
・可用性(Availability Impact)
次に
この攻撃が、どのようなモノなのかを調べるのには「CVE番号」を利用します。
検索すると、いろいろと情報が出てきますが CVE番号は万国共通の脆弱性情報なので、これをトリガーに確認するのがよいでしょう。
今回の脆弱性の影響は、この記事が参考になりました。
https://cloud.watch.impress.co.jp/docs/column/infostand/1375477.html
下の方にスクロールすると、影響のある製品一覧が出てきます。
パッチが出ていれば、Fixed Versionをクリックしてダウンロードできます。
また、対処方法・手順は Workaroundsを確認してください。
このLog4j脆弱性は、サーバーだけでなく、ネットワーク機器の管理画面の機能としても多数の製品にJavaが使われたり、ハイブリッドクラウドで外部とAPI通信など、簡単に切り離すことも難しいですし、どこにその機能が入っているかを洗い出すのも一苦労です。
当然のように、VMwareこのようにたくさんのPatchをあてる、もしくはスクリプトを実行が求められる製品がたくさんあります。これを楽にする方法は vRe..........じゃなくて NSXなんです。
(1)NSX ALB によるWAFを利用した 不正なAPIリクエストを排除
https://blogs.vmware.com/vmware-japan/2021/12/waf-log4j.html
(2)NSX ATP による IPSを利用した 不正な通信の排除
https://blogs.vmware.com/vmware-japan/2021/12/vcn-virtual-patch.html
実は、これら脆弱性情報を皆さんも最速で知る方法があります。
メルマガの登録ですが、VMSAトップページの右上に メールアドレスを入力する欄があるので、そこから登録してみてください。
※連動するメディア側の記事公開がずれ込んでしまったので、予定していたBlogは年明けにご案内できると思います。