Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

CVE-2021-44228 - Log4j RCE 제로 데이 완화

Loading...

업데이트: 이제 세 가지 WAF 규칙 모두 기본 동작이 차단으로 구성되었습니다.

널리 쓰이는 Apache Log4j 유틸리티(CVE-2021-44228)에 영향을 미치는, 원격 코드 실행(RCE)으로 이어지는 제로 데이 익스플로잇이 2021년 12월 9일 공개되었습니다.

이 취약점은 현재 익스플로잇 상태이므로 누구든 Log4j를 사용 중인 사람은 최대한 빨리 버전 2.15.0으로 업데이트해야 합니다. 최신 버전은 이미 Log4j 다운로드 페이지에 올라와 있습니다.

최신 버전으로 업데이트할 수 없는 상황이라면 classpath에서 JndiLookup 클래스를 제거하여 취약점을 완화시킬 수 있습니다. 또한, Log4j 2.10 버전 이상에서는 시스템 속성 log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경 변수를 true로 설정하여 문제를 완화시킬 수 있습니다.

Cloudflare WAF를 사용 중인 고객 역시 새롭게 배포된 규칙 세 가지를 이용하여 익스플로잇 시도를 완화시킬 수 있습니다.

규칙 ID 설명 기본 동작
100514 (레거시 WAF)
6b1cc72dff9746469d4695a474430f12 (신규 WAF)
Log4j 헤더 BLOCK
100515 (레거시 WAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (신규 WAF)
Log4j 바디 BLOCK
100516 (레거시 WAF)
5f6744fa026a4638bda5b3d7d5e015dd (신규 WAF)
Log4j URL BLOCK

완화는 각각 HTTP 헤더, 바디 및 URL을 검사하는 세 가지 규칙으로 분할됩니다.

현재 지속적으로 상황을 모니터링 중이며, 필요에 따라 모든 WAF 규칙을 업데이트할 것입니다.

이 취약점에 대한 자세한 내용은 공식 Log4j 보안 페이지에서 참고하시기 바랍니다.

영향을 받는 대상

Log4j는 Apache Software Foundation에서 관리하는 강력한 Java 기반 로깅 라이브러리입니다.

2.0-beta9 이상, 2.14.1 이하의 모든 Log4j 버전에서는 구성, 로그 메시지, 파라미터에 사용되는 JNDI 기능들이 원격 코드 실행을 수행하기 위한 공격자에 의해 익스플로잇될 가능성이 있습니다. 특히, 메시지 조회 대체가 활성화되어 있는 상태에서 공격자가 로그 메시지 또는 로그 메시지 파라미터를 제어할 수 있는 경우 LDAP 서버에서 로드된 임의 코드를 실행할 수도 있습니다.

Hacker News의 관련 링크 Reddit의 관련 링크

취약점 제로 데이 위협 WAF 규칙 보안

Cloudflare는 전체 기업 네트워크 를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효율적으로 구축하도록 도우며, 웹사이트 또는 인터넷 애플리케이션 을 가속하고, DDoS 공격 을 막으며, 해커의 침입을 방지 하고, Zero Trust로의 여정을 도와드릴 수 있습니다.

아무 장치로 1.1.1.1 에 방문해서 인터넷을 더 빠르고 안전하게 만드는 Cloudflare의 무료 앱을 시작해 보세요.

더 나은 인터넷을 만들겠다는 Cloudflare의 사명을 더욱 자세히 알아보려면, 이곳 을 확인해 보세요. 새로운 방향성을 제시하는 직업을 찾고 있다면, 채용 중인 직무 목록을 확인해 보세요.

취약점 WAF (KO) Log4J (KO) Log4Shell (KO) 한국어

Follow on Twitter

Cloudflare |Cloudflare

Related Posts

December 10, 2021 9:08PM

Log4j2 내 취약점(CVE-2021-44228)

어제였던 2021년 12월 9일, 널리 쓰이는 Java 기반 로깅 패키지인 Log4j에서 아주 심각한 취약점이 발견되었습니다. RCE(Remote Code Execution)라고 일컬어지는 이 취약점은 공격자가 원격 서버에서 코드를 실행할 수 있게 합니다. Java와 Log4j가 얼마나 널리 쓰이고 있는지를 생각하면 이 취약점은 어쩌면 Heartbleed와 ShellShock 이후로 인터넷에서 발견된 가장 심각한 취약점 중 하나일 것입니다....