Shellshock - CVE-2014-6271 と関連 CVE のブロック方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Block Shellshock - CVE-2014-6271 and Related CVEs

https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Block-Shellshock-CVE-2014-6271-and-Relat...

 

 

概要

Palo Alto Networks は、一般に Shellshock として知られる CVE-2014-6271 とその関連 CVE を検知するためのシグネチャをコンテンツ バージョン #458にてリリースしました。CVE-2014-6271、CVE-2014-7169、CVE-2014-6277、およびCVE-2014-6288は、脅威 ID #36729, #36730, #36731, #36732, #36736, #36737 にて検知可能です。これらの脅威は、HTTP、DHCP、FTP、およびSIPにおいて検知されます。なお、それらのトラフィックが通過するセキュリティ ポリシーには、脆弱性防御プロファイルが適用されている必要があります。

 

脅威防御 (Threat Prevention) のサブスクリプションを保有するセキュリティ管理者は、これらの脅威をブロックしたいのであれば、重要度がcriticalで定義されている全ての脅威をブロックするように脆弱性防御プロファイルを設定するか、もしくはShellshockをカバーする脅威シグネチャ用に別途例外処理を設定してください。

 

注: Palo Alto Networks はコンテンツ バージョン #460 にて全てのShellshock用シグネチャのデフォルトのアクションを "alert" から "reset-both" に変更しました。そのため、重要度がcriticalの脆弱性にデフォルト アクションを適用した場合は、コンテンツ バージョンを #460以降にアップデートした後にこれらの脅威がブロックされることになります。以下の手順は、デフォルト アクションを使っていない場合や、既存の脆弱性防御プロファイルにて例外設定を行う場合には依然として必要となります。

 

手順

  1. デバイスにて、コンテンツ バージョン #458 以降がインストールされていることを確認します。もし、バージョンが古ければ、ダイナミック更新を行ってください。
    • ウェブ UI
      • Device > ダイナミック更新 へ移動しコンテンツ バージョンが #458 以上であることを確認します。以下がその例です。
        s1.jpg
        注: もし古いコンテンツ バージョンのみ表示されているようであれば、「今すぐチェック」ボタンを押して更新してください。
    • CLI
      • "show system info" コマンドを実行し、コンテンツ バージョン #458 以降がインストールされていることを確認します。以下がその例です。
        > show system info
        hostname: PA-NGFW
        ip-address: 10.0.0.1

        netmask: 255.255.0.0
        ...
        threat-version: 458-2380
        threat-release-date: 2014/09/26  00:21:59
        ...
      • もし古いバージョンがインストールされていたら、以下の一連のコマンドを実行してください。
        > request content upgrade check
        > request content upgrade download latest
        > request content upgrade install version latest
        注: アップグレードのためのジョブが無事終了すると、デバイスは最新のコンテンツ データベースにアップデートされます。
  2. 脆弱性防御プロファイルを作成し、脅威をブロックするように想定しているトラヒックが通過しうる全てのセキュリティ ポリシー上でそのプロファイルが適用されていることを確認してください。
    • Policies > セキュリティ に移動し、設定を確認します。必要に応じて脆弱性防御プロファイルを適用してください。
      s3.jpg
      s4.jpg
  3. Objects > セキュリティ プロファイル > 脆弱性防御 に移動し、これらの脅威をブロックするために用意した脆弱性防御プロファイルの名前をクリックします。
  4. 「例外」タブをクリックします。
    s5.jpg
  5. 「すべてのシグネチャの表示」にチェックを入れます。
    s6.jpg
  6. 検索ボックスに "36729" と入力し、エンターを押すか、緑の矢印をクリックします。
    s7.jpg
    注: 36729を検索した際に何も表示されなければ、GUIキャッシュをクリアするために、一度ウェブUIからログアウトしてログインしなおしてください。再ログイン後、シグネチャが表示されるようになります。
  7. シグネチャID #36729の隣にある「有効化」のチェックボックスにチェックを入れ有効にします。
    s8.jpg
  8. シグネチャのアクションを変更するため「アクション」にある項目をクリックし、希望するブロック アクションを選択します。
    s9.JPG
  9. OK ボタンを押しダイアログボックスを閉じます。設定が正しいことを確認してください。
    s10.jpg
  10. 上記の手順6から9までを#36730, #36731, #36732, #36736, #36737の各シグネチャに対して行います。
    注: これらの手順は、Shellshockをブロックするために用意した全ての脆弱性防御プロファイルにおいて繰り返し行う必要があります。
  11. OKをクリックし、脆弱性防御プロファイルのダイアログボックスを閉じます。
  12. 設定をコミットします。

 

参考

 

著者: ggarrison