Protection against CVE-2021-45046, the additional Log4J RCE vulnerability

CVE-2021-44228에 바로 이어서 두 번째 Log4J CVE가 CVE-2021-45046으로 등록되었습니다. CVE-2021-44228을 대상으로 이전에 출시되었던 규칙은 이 신규 CVE에 대해서도 동일한 수준의 보호를 제공합니다.

이 취약점은 활발한 공격을 받고 있으며 Log4J를 사용하는 모든 이는 이전에 2.15.0 버전으로 업데이트했더라도 최대한 빨리 2.16.0 버전으로 업데이트해야 합니다. 최신 버전은 Log4J 다운로드 페이지에서 찾을 수 있습니다.

Cloudflare WAF를 사용 중인 고객은 세 가지의 규칙으로 모든 취약점 공격 시도를 완화할 수 있습니다.

규칙 ID 설명 기본 동작
100514 (레거시 WAF)
6b1cc72dff9746469d4695a474430f12 (신규 WAF)
Log4J 헤더 차단
100515 (레거시 WAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (신규 WAF)
Log4J 바디 차단
100516 (레거시 WAF)
5f6744fa026a4638bda5b3d7d5e015dd (신규 WAF)
Log4J URL 차단

완화는 각각 HTTP 헤더, 바디 및 URL을 검사하는 세 가지 규칙으로 분할됩니다.

위 규칙과 더불어 더 높은 긍정 오류 비율을 대가로 더 넓은 공격 범위로부터 보호하는 네 번째 규칙이 출시되었습니다. 그러한 이유로 네 번째 규칙을 제공하지만 이를 기본값으로 차단하도록 설정할 수는 없습니다.

규칙 ID 설명 기본 동작
100517 (레거시 WAF)
2c5413e155db4365befe0df160ba67d7 (신규 WAF)
Log4J Advanced URI, 헤더 비활성화됨

영향을 받는 대상

Log4J는 Apache Software Foundation에서 관리하는 강력한 Java 기반 로깅 라이브러리입니다.

2.0-beta9 이상, 2.14.1 이하의 모든 Log4J 버전에서는 구성, 로그 메시지, 파라미터에 사용되는 JNDI 기능들이 원격 코드 실행을 수행하기 위한 공격자에 의해 익스플로잇될 가능성이 있습니다. 특히, 메시지 조회 대체가 활성화되어 있는 상태에서 공격자가 로그 메시지 또는 로그 메시지 파라미터를 제어할 수 있는 경우 LDAP 서버에서 로드된 임의 코드를 실행할 수도 있습니다.

또한, 2.15.0 버전에서 확인할 수 있듯이 CVE-2021-22448을 대상으로 한 이전 완화는 CVE-2021-45046으로부터 보호하는 데 충분하지 않습니다.