상세 컨텐츠

본문 제목

[긴급] Apache Log4j 보안 취약점 대응 방안 안내

국내외 보안동향

by 알약4 2021. 12. 10. 09:45

본문

 

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.


Log4j 라이브러리는 아파치 소프트웨어 재단에서 개발한 인기 있는 Java 로깅 프레임 워크입니다. Log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티 입니다. 이번에 발견된 주요 취약점은 Log4j 2 버전에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점으로, 이를 악용하면 원격 코드 실행(RCE)이 가능하게 됩니다. 

 

Apache Log4j 2 버전에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)을 통해 악성파일 감염 등의 피해가 발생할 수 있어 최신 버전으로 긴급 업데이트가 필요합니다. 또한, 추가적으로 서비스 거부 취약점(CVE-2021-45046)에 대한 내용도 보고된 상태입니다.

 

아울러 Apache Log4j 1.2 버전에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)도 존재하지만, 현 시점 JMSAppender를 사용하지 않는 경우 취약점 영향이 없으므로, 사용 여부 확인 후 해당 기능을 중지하여야 합니다. 다만, 1.x버전 사용자의 경우 업데이트 서비스 종료(EoL)로 인해 또 다른 보안위협에 노출될 수 있으므로, 가급적 최신버전으로 업데이트 적용을 권장드립니다.

 

이른바 Log4Shell 이름으로 명명된 이번 대표 Log4j 취약점은 매우 치명적인 결함으로 간주되며, CVSS 스코어 10점 만점 중 10점으로 가장 높은 위험도 입니다. 해당 취약점 수준은 심각으로, 사용자 여러분들의 빠른 패치가 필요합니다.

 

Log4j 보안 취약점이 계속 발견됨에 따라 이용자들은 최신 정보를 수시로 확인해 항상 최신 버전을 유지하여 위협 노출을 최소화하는 노력이 필요합니다. 

 

[Update 2021. 12. 18] Log4j 신규 DoS 취약점(CVE-2021-45105)에 대해 2.17.0 추가 업데이트가 공개됐습니다. 

 

[Update 2021. 12. 29] Log4j 신규 RCE 취약점(CVE-2021-44832)에 대해 2.17.1 추가 업데이트가 공개됐습니다.


● 2021년 12월 16일 이스트시큐리티는 Log4j 취약점 점검 도구를 개발해 무료로 배포를 시작했습니다.

https://blog.alyac.co.kr/4357

 

[이스트시큐리티] Log4j 취약점 무료 점검 도구 제공

안녕하세요? 이스트시큐리티 ESRC(시큐리티 대응센터)입니다. 이스트시큐리티는 보다 안전한 인터넷 환경을 제공하기 위해 현재 전 세계적으로 이슈화되고 있는 Log4j 취약점 모듈 점검 도구를 개

blog.alyac.co.kr

 

저희 ESRC는 해당 취약점으로 유포된 것으로 알려진 악성파일들에 대해 'Trojan.Linux.Agent', 'Trojan.Downloader.Shell.Agent', 'Trojan.Ransom.Filecoder' 등으로 알약(ALYac) 제품에서 탐지 및 치료가 가능한 상태이며, 유사 위협 대비를 위해 보안 모니터링을 지속 강화하고 있습니다.

 

보안 취약점 조건 별 영향받는 버전

 

□ CVE-2021-44228 (원격 코드 실행 취약점)

- 2.0-beta9 ~ 2.14.1 버전

   (Log4j 2.12.2 버전 제외)

 

□ CVE-2021-45046 (서비스 거부 취약점)

- 2.0-beta9 ~ 2.12.1 버전

- 2.13.0 ~ 2.15.0 버전

 

□ CVE-2021-4104 (원격 코드 실행 취약점)

- 1.2.x 모든 버전

   (Log4j 1.x 버전 사용자는 Log4j 2.x 버전대로 업그레이드 권장)


 CVE-2021-45105 (서비스 거부 취약점)

- 2.0-beta9 ~ 2.16.0 버전 
   ( Log4j 2.12.3, Log 1.x 버전은 영향받지 않음)

 

□ CVE-2021-44832 (원격 코드 실행 취약점)

- 2.0-beta9 ~ 2.17.0 버전 

업데이트 조치 방안 (제조사 공식 보안 업데이트 설치 권고)

 

Apache Log4j 최신 버전으로 업데이트 바로가기 (클릭)

(2021년 12월 29일 기준 Log4j 2.17.1 최신 업데이트 이상 설치 권장)

 

Log4j 버전별 다운로드 (자바 버전에 따라 선택)

https://downloads.apache.org/logging/log4j/

https://archive.apache.org/dist/logging/log4j/

 

△  신규 업데이트가 불가할 경우 하기 임시조치 방안을 적용할 수 있습니다.

 

     ·  PatternLayout에서 ${ctsx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
     ·  ${ctx:loginId} 또는 $${ctx:loginId}를 제거

 

△ 신규 업데이트가 불가할 경우 하기 임시 조치방안을 적용하실 수 있지만, 임시 조치방안은 게시된 취약점에 대한 단기적 대응으로 신규 버전으로 업그레이드를 권장합니다. log4j-core JAR 파일 없이 log4j-api JAR 파일만 사용하는 경우 취약점 영향을 받지는 않습니다.

 

      · JndiLookup 클래스를 경로에서 제거 :
         zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

※  참고 자료 

[이스트시큐리티 보안 공지]
https://www.estsecurity.com/enterprise/security-center/notice/view/200298

[KISA 보안업데이트 권고]
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389

[Log4j RCE Exploitation Detection]

https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b


[제조사별 취약점 현황]
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

https://github.com/NCSC-NL/log4shell/tree/main/software

https://github.com/cisagov/log4j-affected-db

 

[KISA 보안업데이트 권고 (CVE-2021-45105)]

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397 

 

 

관련글 더보기

댓글 영역