-
[CVE-2021-44228] Apache Log4j RCE 제로데이 취약점 및 대응 방법 공유인터넷을 돌아다니며/IT 2021. 12. 12. 21:38728x90반응형SMALL
- 취약점 수준 : 10 (심각 / 치명적)
- 영향받는 버전 : 2.0 <= Apache log4j2 <= 2.14.1
관련 정보 모음
https://always-try.tistory.com/174
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html?m=1
https://github.com/tangxiaofeng7/apache-log4j-poc
Spring Boot
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
Elasticsearch
https://www.elastic.co/kr/blog/detecting-log4j2-with-elastic-security
https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
https://threatpost.com/zero-day-in-ubiquitous-apache-log4j-tool-under-active-attack/176937/
Docker
https://www.docker.com/blog/apache-log4j-2-cve-2021-44228/
CVE-2021-44228 Scanner
https://github.com/logpresso/CVE-2021-44228-Scanner
https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
CVE-2021-44228 Solr
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
CVE-2021-44228 Solr
https://community.mailcow.email/d/1229-cve-2021-44228-vulnerability-solr
스프링 부트 대응 방법
https://redcoder.tistory.com/256
안랩 대응 방법
https://m.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50131691
NHN Cloud
NHN㈜ 에서 제공하는 “통합 클라우드 서비스” NHN Cloud를 이용해 주시는 고객님께 감사의 말씀을 드립니다.
Apache 소프트웨어 Log4j 2에서 취약점(CVE-2021-44228)관련 추가 업데이트가 발표되어 안내 드립니다.
이 취약점에 대한 자세한 내용은 다음을 참고하시기 바랍니다.
상세 내용
- CVE 식별자
- CVE-2021-44228
- 취약점 이름
- Apache Log4j2 Zero-Day Exploited in the Wild (Log4Shell)
- 취약점 등급
- High
- 취약점 설명
- Apache Log4j 2 에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
- Log4j: 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
- 공격자는 해당 취약점을 악용하여 악성코드 감염 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고
- Apache Log4j 2 에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
- POC 상태
- 공개
- 영향도
- 권한 탈취, 웹 변조, 마이닝 등 기타 악성 행위 가능
- 영향받는 시스템
- 2.0-beta9 ~ 2.14.1 모든버전
임시 해결 방법
- 2.0-beta9 ~ 2.10.0
- JndiLook 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 2.10 ~ 2.14.1
- log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
패치 해결 방법
- 제조사 홈페이지를 통해 최신버전(2.15.0 이상)으로 업데이트 적용[3]
- 2.16.0 : JNDI 비활성화, 메시지 조회 기능 삭제
- 2.15.0 : 메시지 조회 기능 비활성화
- Log&Crash Search Log4j2 SDK 사용중인 서비스의 경우 MDC 사용시 원격코드 실행과 유사한 취약점이 존재
- https://github.com/advisories/GHSA-7rjr-3q55-vv33
- MDC 사용해 커스텀 필드 전송하는 케이스의 경우 2.16.0 이상 버전으로 패치 필요
참고 사이트
- [1] https://logging.apache.org/log4j/2.x/security.html
- [2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
- [3] https://logging.apache.org/log4j/2.x/download.html
Naver Cloud
안녕하세요, 네이버 클라우드 플랫폼입니다.
네이버 클라우드 플랫폼에서는 Apache Log4j 원격 코드 실행 취약점과 관련하여 아래와 같이 대응/지원을 하고 있습니다.
1. 취약점 조치 권고 포털 공지 : 12월 11일(토)
https://www.ncloud.com/support/notice/all/1252
2. 네이버 클라우드 플랫폼 회원 공통
12월 10일(금) 오후부터 네이버 클라우드 플랫폼 전체 고객 대상으로,
IDS에 공격 탐지 시그니처를 등록하여, 탐지된 공격자 IP는 Black List IP로 분류하여, 차단을 진행하고 있습니다.
3. Security Monitoring 이용 고객
12월 11일(토) 새벽부터 Security Monitoring (유료 회원)은 추가 보완대책으로,
- Classic IPS를 이용하는 경우: 공격 시그니처에 대해 일괄 차단 정책 적용 중입니다.
- VPC IPS를 이용하는 경우: 차단 모드를 적용 중인 고객에 한해 공격 시그니처를 차단 정책으로 업데이트했습니다.
또한, IPS, WAF 모두 Black List IP 및 이용자 정의 시그니처 추가 요청을 주시면 적합성을 검토하여 반영/지원하고 있습니다.
* Security Monitoring 인프라에 부하가 예상되는 경우에는 제한적으로 반영될 수 있습니다.
관련 문의는 "고객지원 문의하기" 또는 1544-5876으로 연락 바랍니다.
더욱 편리한 서비스 제공을 위하여 항상 노력하겠습니다.
감사합니다.
네이버 클라우드 플랫폼 드림.
728x90반응형LIST'인터넷을 돌아다니며 > IT' 카테고리의 다른 글
Logback에서 발생하는 원격코드실행 취약점(CVE-2021-42550) (0) 2021.12.19 삼성 갤럭시 S21 Ultra 리뷰 (0) 2021.01.24 레드햇 엔터프라이즈 리눅스, 16개 서버까지 무료 사용 가능해진다! (0) 2021.01.24 쿠팡 가격 하락 알림 봇 (0) 2020.12.28 [무료폰트] 한글날 기념 무료서체 모음 (0) 2020.10.11