보안

아파치 Log4j 취약점 발견 후 2주, 어떻게 진행됐나

Michael Hill  | CSO 2021.12.24
아파치 Log4j 취약점은 12월 초에 발견된 이후 전 세계 지면을 장식하고 있다. 기업 보안 팀이 위험을 줄이기 위해 노력하고 있지만, Log4j 취약점은 전 세계 수많은 조직에 영향을 미쳤다. Log4j 취약점이 어떻게 발견되어 지금까지 퍼지고 있는지를 시간순으로 살펴보자.
 

12월 9일 목요일 : 아파치 Log4j 제로데이 취약점 발견

아파치는 수백만 개의 자바 기반 애플리케이션에서 사용되는 로깅 라이브러리인 Log4j의 치명적인 취약점을 발견하고 세부 정보를 공개했다. 공격자는 ‘로그4셸(Log4Shell)’이라고 하는 이 결함(CVE-2021-44228)을 공격하기 시작했다. 로그4셸은 CVSS 취약점 등급 척도에서 10점 만점에서 10점을 받았다. 취약한 애플리케이션을 실행하는 기본 서버에서 원격 코드 실행(RCE)으로 이어질 수 있다는 의미다.

아파치 개발자는 권고문에서 “메시지 룩업 대체가 활성화되면 로그 메시지나 로그 메시지 매개변수를 제어할 수 있는 공격자는 LDAP 서버에서 로드 된 임의 코드를 실행할 수 있다”라고 밝혔다. Log4j 2.15.0이 릴리즈되면서 전 세계의 보안 팀이 자사 조직을 보호하기 위해 노력하면서 문제 수정이 가능해졌다. 기업은 최신 버전을 설치하라는 권고를 받았다.

 

ⓒ Getty Images Bank


12월 10일 금요일 : 영국 NCSC, 영국 내 조직에 Log4j 경고 

취약점의 여파가 계속되자 영국 국립사이버보안센터(National Cyber Security Centre, NCSC)는 영국 기업에 취약점에 대한 공개 경고를 보내고 간략한 완화 전략을 제시했다. NCSC는 Log4j를 사용하는 것으로 알려진 모든 기관에 즉시 최신 업데이트를 설치할 것을 권고하며 “Log4j를 포함한 소프트웨어를 사용하는 모든 영국 기관에 최우선 사항이 되어야 한다. 조직은 인터넷 연결(internet-facing)과 비연결(non-internet facing) 소프트웨어를 모두 업데이트해야 한다”라고 성명에서 밝혔다. 기업은 또한 알려지지 않은 Log4j 인스턴스를 찾아내고 보호 네트워크 모니터링/차단 기능을 구축하라는 요구를 받았다.
 

12월 11일 토요일 : 미국 CISA “긴급한 문제” 언급

미국 사이버 보안 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)도 영국 NCSC와 마찬가지로 네트워크 방어에 필요한 긴급한 문제를 반영하면서 공개적으로 Log4j 취약점에 대응했다. 이스털리 국장은 성명에서 “CISA는 Log4j 소프트웨어 라이브러리가 포함된 제품에 영향을 미치는 중대한 취약점을 사전에 해결하기 위해 공공 및 민간 부문 파트너들과 긴밀히 협력하고 있다”라고 말했다.

또한, “취약점을 완화하고 관련 위협 활동을 탐지하기 위해 긴급한 조치를 취하고 있다. 기존에 악용된 취약점 카탈로그에 Log4j 취약점을 추가했으며, 연방 민간기관은 물론 비연방 협력 업체에도 긴급 패치와 수정을 요구한다. 네트워크 취약한 기업에 적극적으로 알리고 있으며, 정부 및 업계 협력 업체가 취약점에 노출되거나 악용되는 것을 식별할 수 있도록 검색 및 침입 탐지 도구를 활용하고 있다”라고 밝혔다.

CISA는 자산 소유자가 다음과 같은 즉각 추가 조치를 취하여 취약점을 보완할 것을 권고했다.
 
  • Log4j가 설치된 외부 연결 장치를 파악한다.
  • 보안운영센터가 이 범주에 속하는 장치에 모든 경고 조치를 취했는지 확인한다.
  • 보안운영센터의 집중도를 높이기 위해 자동 업데이트되는 규칙을 가진 웹 애플리케이션 방화벽을 설치한다
 

12월 14일 화요일 : 서비스 거부 위협이 있는 두 번째 Log4j 취약점이 탐지되고, 새 패치가 공개

아파치 Log4j에 영향을 미치는 두 번째 취약점이 발견되었다. CVE 설명에 따르면, 새로운 공격인 CVE 2021-45046은 악의적인 행위자가 JNDI 룩업 패턴을 사용하여 악의적인 입력 데이터를 조작하고 서비스 거부(DoS) 공격을 생성할 수 있다. 새로운 패치도 등장했는데, 메시지 룩업 패턴에 대한 지원을 없애고 기본적으로 JNDI 기능을 비활성화한 것이 특징이다. 다만, 기본이 아닌 특정 구성에서 원래 결함에 대한 Log4j 2.15.0 수정이 불완전했다. 

보안업체 리질리언스(Resilience)의 위험 및 대응 책임자 에이미 창은 결함이 발견된 직후 CSO에 “CVE-2021-45046이 원래 취약점보다 심각하지는 않지만, 위협 행위자가 패치되지 않았거나 부적절하게 패치된 시스템에 악의적인 공격을 수행하는 것은 또 다른 벡터”라고 말했다. 창은 “CVE-2021-44228에 대한 불완전한 패치는 악의적인 입력 데이터를 조작하는 데 악용될 수 있으며, DoS 공격을 초래할 위험이 있다. DoS 공격은 기계나 네트워크를 차단하고 의도한 사용자가 접근할 수 없는 공격”이라고 설명했다. 조직은 가능한 한 빨리 Log4j: 2.16.0으로 업데이트하라는 권고를 받았다.
 

12월 17일 금요일 : 세 번째 Log4j 취약점 출현, 새로운 패치 배포

아파치는 세 번째 주요 Log4j 취약점의 세부 정보를 공개하고 또 다른 수정사항을 공개했다. 이것은 10점 만점에 7.5점을 받은 무한 재귀(infinite recursion) 결함이었다. 아파치는 “Log4j 팀은 자바 8 이상의 Log4j 2.17.0에서 해결된 보안 취약점 CVE-2021-45105에 대해 알게 되었다. 

아파치 Log4j2 버전 2.0-알파 1에서 2.16.0은 자체 참조 룩업에서 제어되지 않는 재귀에서 보호되지 못했다. 로깅 구성에서 컨텍스트 룩업이 포함된 기본이 아닌 패턴 레이아웃(예: ${ctx:loginId})을 사용할 때, TCM(Thread Context Map) 입력 데이터에 대한 통제권을 가진 공격자가 재귀 룩업을 포함한 악의적인 입력 데이터를 조작하여 프로세스를 종료하는 스택 오버플로우 에러를 초래할 수 있다. 이것이 DoS(서비스 거부) 공격이라고 알려진 것”이라고 설명했다.

아파치는 다음의 완화조치를 함께 제시했다.
 
  • 로깅 구성의 패턴 레이아웃에서 ${ctx:loginId}이나 $${ctx:loginId}와 같은 컨텍스트 룩업을 TCM 패턴(%X, %mdc, or %MDC)으로 대체하라. 
  • 그렇지 않다면, 구성에서 HTTP 헤더나 사용자 입력과 같은 애플리케이션에 대한 외부 소스에서 비롯된 ${ctx:loginId}이나 $${ctx:loginId}와 같은 컨텍스트 룩업에 대한 참조를 제거하라.  


12월 20일 월요일 : 드리덱스(Dridex) 및 미터프레터(Meterpreter) 설치에 악용된 Log4j 

사이버 보안 연구 그룹인 크립토래무스(Cryptolaemus)는 Log4j 취약점을 이용한 공격이 윈도우 기기를 드리덱스 뱅킹 트로이 목마로, 리눅스 기기를 미터프레터로 감염시키고 있다고 경고했다. 드라이덱스는 마이크로소프트 워드에서 매크로를 사용하는 시스템을 통해 은행 자격 증명을 훔치는 멀웨어의 일종이며, 미터프레터는 공격자가 대상 시스템을 탐색하고 코드를 실행할 수 있는 대화형 셸을 제공하는 메타스플로이트(Metasploit) 공격 페이로드다. 크

립토래무스 회원인 조셉 루슨은 블리핑컴퓨터(BleepingComputer)에 위협 행위자가 Log4j RMI(원격 메소드 호출(Remote Method Invocation))를 악용해, 취약한 기기가 공격자 제어 원격 서버에서 자바 클래스를 로드하고 실행하도록 강제하는 변종을 활용한다고 말했다. editor@itworld.co.kr 
 Tags Log4j

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.