업데이트: 이제 세 가지 WAF 규칙 모두 기본 동작이 차단으로 구성되었습니다.

널리 쓰이는 Apache Log4j 유틸리티(CVE-2021-44228)에 영향을 미치는, 원격 코드 실행(RCE)으로 이어지는 제로 데이 익스플로잇이 2021년 12월 9일 공개되었습니다.

이 취약점은 현재 익스플로잇 상태이므로 누구든 Log4j를 사용 중인 사람은 최대한 빨리 버전 2.15.0으로 업데이트해야 합니다. 최신 버전은 이미 Log4j 다운로드 페이지에 올라와 있습니다.

최신 버전으로 업데이트할 수 없는 상황이라면 classpath에서 JndiLookup 클래스를 제거하여 취약점을 완화시킬 수 있습니다. 또한, Log4j 2.10 버전 이상에서는 시스템 속성 log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경 변수를 true로 설정하여 문제를 완화시킬 수 있습니다.

Cloudflare WAF를 사용 중인 고객 역시 새롭게 배포된 규칙 세 가지를 이용하여 익스플로잇 시도를 완화시킬 수 있습니다.

규칙 ID 설명 기본 동작
100514 (레거시 WAF)
6b1cc72dff9746469d4695a474430f12 (신규 WAF)
Log4j 헤더 BLOCK
100515 (레거시 WAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (신규 WAF)
Log4j 바디 BLOCK
100516 (레거시 WAF)
5f6744fa026a4638bda5b3d7d5e015dd (신규 WAF)
Log4j URL BLOCK

완화는 각각 HTTP 헤더, 바디 및 URL을 검사하는 세 가지 규칙으로 분할됩니다.

현재 지속적으로 상황을 모니터링 중이며, 필요에 따라 모든 WAF 규칙을 업데이트할 것입니다.

이 취약점에 대한 자세한 내용은 공식 Log4j 보안 페이지에서 참고하시기 바랍니다.

영향을 받는 대상

Log4j는 Apache Software Foundation에서 관리하는 강력한 Java 기반 로깅 라이브러리입니다.

2.0-beta9 이상, 2.14.1 이하의 모든 Log4j 버전에서는 구성, 로그 메시지, 파라미터에 사용되는 JNDI 기능들이 원격 코드 실행을 수행하기 위한 공격자에 의해 익스플로잇될 가능성이 있습니다. 특히, 메시지 조회 대체가 활성화되어 있는 상태에서 공격자가 로그 메시지 또는 로그 메시지 파라미터를 제어할 수 있는 경우 LDAP 서버에서 로드된 임의 코드를 실행할 수도 있습니다.

Hacker News의 관련 링크 Reddit의 관련 링크

취약점 제로 데이 위협 WAF 규칙 보안