この投稿では、Barracuda Web Application Firewallを利用して、Shellshock攻撃からシステムを保護する手法をご紹介します。本脆弱性については、過去のブログをご参照ください。

Barracuda Web Application Firewallは、ShellShock攻撃から防御する汎用シグネチャを提供しております。このシグネチャはOSコマンドインジェクションルールとして提供されています。デフォルトでは、ヘッダ値に適用されませんが、バラクーダはOSコマンドインジェクションルールとして新しいルールを作成し、本脆弱性を悪用した攻撃からシグネチャを利用して保護します。

bashシェルをアップデートしていないWebサーバや、本脆弱性に対して影響を受ける可能性のあるWebサーバに対して、バラクーダネットワークスでは、最新の攻撃定義ファイルへ更新することを強く推奨します。攻撃定義ファイルは、デフォルトで自動的にアップデートされますが、万一定義ファイルの更新を自動更新にしていない場合は、速やかにアップデートをお願いします。

攻撃定義ファイル更新後、管理画面の[WEBサイト]→[許可/拒否]タブから、「ヘッダ:許可/拒否ルール」を作成します。

  1. 「ヘッダ:許可/拒否ルール」を新しく作成します。すべてのヘッダに対して、ヘッダ名が“*” と一致するルールを作成します。ステータスを「オン」、モードを「アクティブ」に設定します。
  2. で作成したヘッダ許可/拒否ルールの「編集」リンクをクリックし、「OSコマンドインジェクション」ルールにチェックを入れます。

ルール作成後、「基本設定」→「Webファイアウォールログ」画面で、Shellshock攻撃があった場合、OSコマンドインジェクション攻撃としてログが残ります。

Barracuda Web Application Firewallは30日間の無償評価機の貸出を行なっております。またパスワードリスト攻撃対策キャンペーンとして、期間限定で無償診断サービスを実施しております。詳細はこちらをご覧ください。

※本内容はBarracuda Product Blog 2014年9月25日Stay protected from the bash vulnerability (shellshock)を元に翻訳し、日本のお客様向けに一部内容をカスタマイズしています。

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』9月26日付の記事の転載です。