C1WS月次レポートの読み方(その1)

年三日坊主のKKです。

普段、コンピューターと戯れて暮らしている拙僧も流石にお盆は実家のお寺を手伝います。
今年は一段と暑いのでお参りしてる最中に倒れないよう、しっかり水分補給しつつがんばろうと思います。


当社で提供しているセキュリティソリューションのの一つに「クラウド型総合サーバーセキュリティサービス」というトレンドマイクロの「Cloud One - Workload Security」(C1WS)を用いたサービスがございます。
月々のライセンスに加えて有効化する機能毎に保守費を頂いて当社がマネージドサービスとして提供するものですが、お客様には有効化した機能毎に月次レポートをお送りしています。

このレポートは動作実績報告のような位置付けではありますが、「動いているのは判ったけど、レポート見ても内容がよくわからない」というご指摘を頂くことがあります。

そこで月次レポートの内容について、解説していこうと思います。
今回はC1WSの機能の中でも特に利用されている方の多い「侵入防御」機能のレポートについて取り上げます。

上記は侵入防御機能でひと月に1件もイベントを検知しなかった場合のレポートです。
ご覧の通り項目やグラフの枠だけで中身がありません。
これは侵入防御機能で何も検知しなかったので、レポートすべきイベントが無かったということを意味しています。

次にイベント検知のあった場合のレポート例です。1ページ目から解説していきます。

1ページ目にはレポート期間やレポート対象コンピュータなどが列挙され、この後で説明する防御モードと検出モードでの検知イベント数を1日単位で合算したグラフが表示されています。

2ページ目からは侵入防御イベント履歴の内、「防御モード」で記録されているイベントに関しての情報が掲載されます。
侵入防御機能には、個別具体的な脆弱性に合わせて作られたルールによって検知や防御をするルールベースのイベントと、クロスサイトスクリプティングや無効なトラバーサルなど特定の脆弱性に依らず一般的な侵入攻撃手法に対して検知や防御をするルールベース以外の侵入防御イベントがあります。
この例では「無効なトラバーサル」というルールベース以外の侵入防御イベントが記載されていますが、ルールベースのイベントは無しとなっています。

ルールベース以外の侵入防御イベントについてはトレンドマイクロ社のサイトにイベント毎に解説がありますので参考にして下さい。
・参考:侵入防御イベント
 https://cloudone.trendmicro.com/docs/jp/workload-security/intrusion-prevention-events/

また、送信元IPのトップ25も掲載されていますので、執拗に攻撃してきている送信元があるようでしたら、ファイアーウォールやWAFなどでアクセスブロックすることもご検討ください。

次に似たようなページが現れますが、こちらは「検知モード」のイベント履歴です。
侵入防御機能自体を「検知モード」でご利用の場合は、すべてのイベントがこちらに記録されます。
一方、侵入防御機能を「防御モード」でご利用頂いていてもルールによっては検知のみになるものがあり、そのようなイベントがこちらに記録されます。
ただし、検知モードのイベント履歴は「攻撃を検知した」記録であって、攻撃が成功したか失敗したかはわかりません。

この例では以下の2つの脆弱性に起因するルールベースのイベントが記載されていますが、ルールベース以外の侵入防御イベントは無しとなっています。

ルールNo. ルール内容 ルール内容和訳
1012046

WordPress 'LiteSpeed Cache' Plugin Cross-Site Scripting Vulnerability (CVE-2023-40000)

WordPress LiteSpeed Cache plugin is prone to a cross-site scripting vulnerability.
A remote, unauthenticated attacker could exploit this vulnerability by sending a crafted request to the target server.
Successful exploitation could result in the execution of script code in the security context of a target user's browser.

WordPress 'LiteSpeed Cache' プラグインにクロスサイトスクリプティングの脆弱性 (CVE-2023-40000)

WordPress LiteSpeed Cache プラグインには、クロスサイトスクリプティングの脆弱性があります。
リモートの認証されていない攻撃者は、細工したリクエストをターゲットサーバーに送信することで、この脆弱性を悪用する可能性があります。悪用に成功すると、ターゲットユーザーのブラウザのセキュリティコンテキスト内でスクリプトコードが実行される可能性があります。

1011466

Apache HTTP Server 'mod_sed' Denial Of Service Vulnerability (CVE-2022-30522)

Apache HTTP Server is vulnerable to a denial of service.
If Apache is configured to do transformations with mod_sed in contexts where the input to mod_sed may be very large, mod_sed may make excessively large memory allocations and trigger an abort.
Note: Configuration options are provided to configure the maximum allowed Content-Length value. This value should match the directive LimitRequestBody configured in Apache.

Apache HTTP サーバ 'mod_sed' にサービス拒否の脆弱性 (CVE-2022-30522)

Apache HTTP サーバにはサービス拒否の脆弱性があります。mod_sed への入力が非常に大きくなりそうなコンテキストで mod_sed が変換を行うように Apache が設定されている場合、 mod_sed は過剰に大きなメモリ割り当てを行い、アボートを引き起こすかもしれません。
注意: Content-Length の最大許容値を設定するための設定オプションが 提供されています。この値は Apache で設定されている LimitRequestBody ディレクティブと一致しなければなりません。

ここに挙げられているルールは検知のみで防御はされないため、脆弱性が修正されたパッチの適用をご検討ください。
当社にてミドルウェアまでの保守を提供している場合は脆弱性に応じて、保守作業としてパッチ適用を実施いたします。