Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2021-44228] Apache Log4j2 RCE
작성일 2021-12-11 조회 6984

 

 

 

Apache Log4j2에 RCE(Remote Code Execution)취약점이 존재합니다.

 

해당 취약점은 log 메소드를 호출할 때 특정 문자 '${'에 대한 명확한 유효성 검사가 이루어지지 않아 발생하는 원격코드 실행 취약점입니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격할 수 있습니다.

 

공격 성공 시, 임의의 코드가 실행될 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2021-44228

Base Score: 10

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

해당 취약점은 log 메소드를 호출할 때 특정 문자 '${'에 대한 명확한 유효성 검사가 이루어지지 않아 발생하는 원격코드 실행 취약점입니다. '${' 문자열 뒤에 원격 연결이 가능한 'ldap', 'rmi' 등의 요청을 사용하여 공격할 수 있습니다.

 

Apache Log4j2는 JSP에서 사용되는 필수 라이브러리로 해당 취약점은 대부분의 Java 기반 서비스에서 발견될 수 있기 때문에 각별한 주의와 빠른 패치 적용 및 업데이트가 필요한 상황입니다. 

 

취약한 버전은 Apache Log4j 2.14.1 이하 버전으로 확인되며 2.15.0 버전에서 패치된 것으로 확인됩니다.

 

 

공격 분석 및 테스트

 

공개된지 얼마 되지 않은 CVE-2021-44228 취약점임에도 불구하고 분당 3건 이상의 공격 시도가 이루어지고 있으며, 향후 많은 공격자들이 활용할 가능성이 높은 취약점입니다.

 

윈스 허니넷에 탐지된 공격들은 대부분 공격자가 공격 대상 서버에서 악성 자바 클래스를 로드함으로써 원격 코드 실행을 유도하고 있는데 Log4j는 특정 자바 오브젝트 및 데이터를 외부에서 참조하는 역할을 수행하므로 그 과정에서  Log4j 취약점이 악용됩니다.

 

 

[그림2. 공격 패킷]

 

 

 

[그림3. 공격 패킷(1)]

 

 

현재 윈스 허니팟에 탐지되는 공격자 IP는 기존에도 다양한 취약점에 사용된 IP로 악성코드 유포, Scan등 공격자의 CnC 서버로 활용되고 있습니다. 

 

[그림4. 위협 IP 정보 (AbuseIPDB)]

 

취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 최신의 버전으로 업데이트한다.

https://logging.apache.org/log4j/2.x/download.html

 

2. WINS Sniper 제품군 대응 방안

 

[5821] Apache Log4j2 jndi RCE

[5822] Apache Log4j2 jndi RCE.A

[5823] Apache Log4j2 jndi RCE.B

[5824] Apache Log4j2 jndi RCE.C

[5825] Apache Log4j2 jndi RCE.D

[5826] Apache Log4j2 jndi RCE.E

[5827] Apache Log4j2 jndi RCE.F

[5828] Apache Log4j2 jndi RCE.G

[5829] Apache Log4j2 jndi RCE.H

[5830] Apache Log4j2 jndi RCE.I

[5831] Apache Log4j2 jndi RCE.J

[5832] Apache Log4j2 jndi RCE.K

[5833] Apache Log4j2 jndi RCE.L

[5834] Apache Log4j2 jndi RCE.M

[5835] Apache Log4j2 jndi RCE.N

[5836] Apache Log4j2 jndi RCE.O

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2021-44228  Log4j2  RCE