• 02.514.7786
  • ucert@ucert.co.kr
제목 Apache 소프트웨어 Log4j 2에서 발생하는 취약점 보안 업데이트 권고 안내
구분 공지
내용

안녕하세요, 

한국기업보안 유써트입니다.

 

최근 Apache 소프트웨어 Log4j 2에서 발생하는 취약점을 악용한 공격이 발생하고 있어 보안 권고 사항을 아래와 같이 전달해드리오니 참고하시어 피해가 발생하지 않도록 만전을 기해주시기를 당부드립니다.

 

기존 업데이트 2.15.0 버전에서 취약점이 우회되어 실행되는 것이 확인되어 아래와 같이 해결방안 및 보안 권고 사항 재안내드립니다. 

 

□ 개요

 

 o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]

 

 o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고

 

    ※ 관련 사항은 참고사이트 [6] 취약점 대응가이드를 참고 바랍니다.

 

    ※ 참고 사이트 [4]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용

 

    ※ Log4j 취약점을 이용한 침해사고 발생시 한국인터넷진흥원에 신고해 주시기 바랍니다.

 

 

 

□ 주요 내용

 

 o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]

 

 o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45046)[7]

 

 o Apache Log4j 1.2에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)[8]

 

    ※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

 

 

 

□ 영향 받는 버전

 

 o CVE-2021-44228

 

   - 2.0-beta9 ~ 2.14.1 버전 (Log4j 2.12.2 제외)

 

 o CVE-2021-45046

 

   - 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전

 

 o CVE-2021-4104

 

   - 1.2 버전

 

    ※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음

 

    ※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전 업데이트 적용 권고

 

 

 

□ 대응방안

 

 o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용[3]

 

   ※ 제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요

 

   ※ 신규 업데이트가 불가할 경우 임시조치방안 적용 권고

 

    - CVE-2021-44228, CVE-2021-45046

 

      · Java 8 : Log4j 2.16.0으로 업데이트[3]

 

      · Java 7 : Log4j 2.12.2으로 업데이트[9]

 

      · 임시조치방안 : JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

           ※ 임시조치방안은 게시된 취약점에 대한 임시적 조치로 신규 버전으로 업그레이드를 권장함

 

           ※ log4j-core JAR 파일 없이 log4j-api JAR 파일만 사용하는 경우 위 취약점의 영향을 받지 않음

 

   - CVE-2021-4104

 

      · Java 8 : Log4j 2.16.0으로 업데이트[3]

 

      · Java 7 : Log4j 2.12.2으로 업데이트[9]

 

 

 

□ 탐지정책

 

 o 참고사이트 [6] 취약점 대응 가이드를 참고하여 탐지정책 적용

 

     ※ 본 탐지정책은 내부 시스템 환경에 따라 다르게 동작할 수 있으며, 시스템 운영에 영향을 줄 수 있으므로 충분한 검토 후 적용 바랍니다.

 

     ※ 공개된 탐지정책(참고사이트 [5])은 우회가능성이 있으므로 지속적인 업데이트가 필요합니다.

 

 

 

□ 침해사고 신고

 

 o 한국인터넷진흥원 침해대응센터 종합상황실 : 02-405-4911~5, certgen@krcert.or.kr

 

     ※ 이상 징후 포착 및 침해사고 발생 시, 한국인터넷진흥원 종합상황실 또는 KISA 인터넷 보호나라 홈페이지로 즉시 신고

 

     ※ 'KISA 인터넷 보호나라' 홈페이지(www.krcert.or.kr 또는 www.boho.or.kr) - 상담 및 신고 - 해킹사고

 

 

 

 [참고사이트]

 

  [1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html

 

  [2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

 

  [3] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html

 

  [4] 제조사별 현황 : https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

 

  [5] 탐지정책 : https://rules.emergingthreatspro.com/open/suricata-5.0/rules/emerging-exploit.rules

 

  [6] 취약점 대응 가이드 : https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390

 

  [7] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

 

  [8] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

 

  [9] Log4j 2.12.2버전 다운로드 : https://archive.apache.org/dist/logging/log4j/2.12.2/

 

 

감사합니다. 

유서트 SNS