구독해서 새 게시물에 대한 알림을 받으세요.

CVE-2021-44228 - Log4j RCE 제로 데이 완화

2021-12-10

1분 읽기
이 게시물은 English, 繁體中文, 日本語简体中文로도 이용할 수 있습니다.

업데이트: 이제 세 가지 WAF 규칙 모두 기본 동작이 차단으로 구성되었습니다.

널리 쓰이는 Apache Log4j 유틸리티(CVE-2021-44228)에 영향을 미치는, 원격 코드 실행(RCE)으로 이어지는 제로 데이 익스플로잇이 2021년 12월 9일 공개되었습니다.

이 취약점은 현재 익스플로잇 상태이므로 누구든 Log4j를 사용 중인 사람은 최대한 빨리 버전 2.15.0으로 업데이트해야 합니다. 최신 버전은 이미 Log4j 다운로드 페이지에 올라와 있습니다.

최신 버전으로 업데이트할 수 없는 상황이라면 classpath에서 JndiLookup 클래스를 제거하여 취약점을 완화시킬 수 있습니다. 또한, Log4j 2.10 버전 이상에서는 시스템 속성 log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경 변수를 true로 설정하여 문제를 완화시킬 수 있습니다.

Cloudflare WAF를 사용 중인 고객 역시 새롭게 배포된 규칙 세 가지를 이용하여 익스플로잇 시도를 완화시킬 수 있습니다.

규칙 ID

설명

기본 동작

100514 (레거시 WAF)6b1cc72dff9746469d4695a474430f12 (신규 WAF)

Log4j 헤더

BLOCK

100515 (레거시 WAF)0c054d4e4dd5455c9ff8f01efe5abb10 (신규 WAF)

Log4j 바디

BLOCK

100516 (레거시 WAF)5f6744fa026a4638bda5b3d7d5e015dd (신규 WAF)

Log4j URL

BLOCK

완화는 각각 HTTP 헤더, 바디 및 URL을 검사하는 세 가지 규칙으로 분할됩니다.

현재 지속적으로 상황을 모니터링 중이며, 필요에 따라 모든 WAF 규칙을 업데이트할 것입니다.

이 취약점에 대한 자세한 내용은 공식 Log4j 보안 페이지에서 참고하시기 바랍니다.

영향을 받는 대상

Log4j는 Apache Software Foundation에서 관리하는 강력한 Java 기반 로깅 라이브러리입니다.

2.0-beta9 이상, 2.14.1 이하의 모든 Log4j 버전에서는 구성, 로그 메시지, 파라미터에 사용되는 JNDI 기능들이 원격 코드 실행을 수행하기 위한 공격자에 의해 익스플로잇될 가능성이 있습니다. 특히, 메시지 조회 대체가 활성화되어 있는 상태에서 공격자가 로그 메시지 또는 로그 메시지 파라미터를 제어할 수 있는 경우 LDAP 서버에서 로드된 임의 코드를 실행할 수도 있습니다.

Hacker News의 관련 링크 Reddit의 관련 링크

취약점 제로 데이 위협 WAF 규칙 보안

Cloudflare에서는 전체 기업 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효과적으로 구축하도록 지원하며, 웹 사이트와 인터넷 애플리케이션을 가속화하고, DDoS 공격을 막으며, 해커를 막고, Zero Trust로 향하는 고객의 여정을 지원합니다.

어떤 장치로든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어 주는 Cloudflare의 무료 앱을 사용해 보세요.

더 나은 인터넷을 만들기 위한 Cloudflare의 사명을 자세히 알아보려면 여기에서 시작하세요. 새로운 커리어 경로를 찾고 있다면 채용 공고를 확인해 보세요.
VulnerabilitiesZero Day Threats (KO)WAF Rules보안Log4J (KO)Log4Shell (KO)

X에서 팔로우하기

Cloudflare|@cloudflare

관련 게시물

2024년 7월 09일 오후 12:00

RADIUS/UDP vulnerable to improved MD5 collision attack

The RADIUS protocol is commonly used to control administrative access to networking gear. Despite its importance, RADIUS hasn’t changed much in decades. We discuss an attack on RADIUS as a case study for why it’s important for legacy protocols to keep up with advancements in cryptography...