9月24日にセキュリティリサーチャがbashの脆弱性を発表しました。これは、CVE-2014-6271(shellshock)と呼ばれています。bashは幅広く使用されているシェルなので、この脆弱性はバラクーダネットワークスのみならず、bashを使用するあらゆるシステムに影響を及ぼします。この脆弱性を悪用すれば、Webサーバなどのホストに悪意のあるコードを簡単に挿入して攻撃やデータ窃取を行うことが可能になります。
脆弱性の発表を受け、バラクーダネットワークスのセキュリティチームはすぐにセキュリティ定義ファイルを作成し、すべてのユーザを対象にエネルギー充填サービスのアップデートとしてBarracuda Centralからリリースしました。このアップグレードを適用することにより、現在のハードウェアプラットフォームでエネルギー充填サービスを利用しているアプライアンスを脆弱性から保護できます。
セキュリティ攻撃は巧妙かつ頻度が高くなっていますが、バラクーダネットワークスは迅速な対応をお約束します。バラクーダネットワークスは、攻撃定義ファイルの自動更新を有効にすることと、ファームウェアの最新リリースのインストールをお勧めしていますが、特に攻撃が広範囲に及ぶ場合にはこれが有効な手段となります。
Barracuda Web Application Firewallでは、bashインスタンスにパッチが適用されていない状態でも、ファイアウォールの背後にあるサーバをこの脆弱性から保護します。
Barracuda Web Application Firewallは、運用環境で稼働する多数のアプリケーションを保護する機能を備え、2008年からのべ110億を超える攻撃を未然に防いだ実績があります。
URI、Cookie、パラメータ、ヘッダといったプロトコル要素を保護する設計を採用することで、未知の脆弱性を悪用した攻撃に対しても威力を発揮します。今回のshellshock脆弱性への対策は、Barracuda Web Application Firewallのヘッダ検査機能がベースになりました。
また、セキュリティの一元管理によってバックエンドサーバを隔離できるというアーキテクチャ上のメリットを活かし、すべてのバックエンドサーバを同時かつ簡単にセキュリティ保護できます。この機能は先頃発生したHeartbleed脆弱性でも適用され、Barracuda Web Application FirewallのSSLスタックを更新することにより、バックエンドサーバが更新されていない状態であっても脆弱性の影響を軽減することができました。
基盤となるプロトコルの検査とセキュリティの一元管理を組み合わせたBarracuda Web Application Firewallは、強力なセキュリティ階層と、Webアプリケーションをデータの流出や改ざんから保護する方法を求めている組織には理想的なソリューションです。Barracuda Web Application Firewallがあれば、コードのクリーンアップを待つ必要はなく、アプリケーションのセキュリティ保護のしくみを理解する必要もありません。最新の攻撃定義ファイルを適用する手順は、こちらをご覧ください。
Barracuda Web Application Firewallは、ハードウェアアプライアンスと仮想アプライアンスの両方で提供されているので、オンプレミスでの導入はもちろん、Amazon Web ServicesやMicrosoft Azureなどのプロバイダが提供するパブリッククラウドでの導入にも対応しています。また、以下のように、業界でも高い評価を頂いています。
- 5つ星の製品評価 – SC Magazine:http://www.scmagazine.com/barracuda-web-application-firewall-model-660/review/4039/
- 最優秀Webアプリケーションファイアウォール – 2014年SC Magazine Awards:http://www.scmagazine.com/2014-sc-awards-us-winners/article/334892/
- 最優秀Webアプリケーションセキュリティおよび最優秀クラウドWebアプリケーションセキュリティ – 2014年Infosecurity Products Guide Awards:http://www.infosecurityproductsguide.com/world/
- 最優秀Webアプリケーションセキュリティ – 2014年Information Management Awards:http://www.networksasia.net/IMA2014/winners2014.php
バラクーダネットワークスは、bash脆弱性の詳細とリスク軽減の方法を、無料のウェビナーで解説しています。
Tech Alert:bash(Shellshock)脆弱性から企業環境を保護する方法 9月26日10:00AM(PDT)
こちら(https://www2.gotomeeting.com/register/218489634)からご登録ください。
Barracuda Web Application Firewallは30日無料でお試しいただけます。こちらからお申し込みください。
※本内容はBarracuda Product Blog 2014年9月26日Shellshock Vulnerability Update – and the Barracuda WAFを翻訳したものです。
Steve Pao
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』10月2日付の記事の転載です。