상세 컨텐츠
본문
Serious Log4j Security Flaw Puts The Entire Internet At Risk, Even iCloud And Steam
최근 마인크래프트(Minecraft)를 통한 장난에 대해 들어보셨을 것입니다.
친구에게 "${jndi:ldap://"로 시작하는 채팅 메시지를 보낼 경우 친구의 마인크래프트 클라이언트가 브라우저 창을 열고 특정 웹사이트로 이동할 수 있게 됩니다.
따라서 장난을 좋아하는 사용자들은 이 마인크래프트의 취약점으로 보이는 문제를 악용하여 친구들에게 충격적이고 혐오스러운 콘텐츠를 보낼 수 있었습니다.
하지만, 불행하게도 이는 마인크래프트의 취약점이 아니라 마인크래프트가 로깅에 사용하는 Apache Log4j 라이브러리에 존재하는 취약점인 것으로 나타났습니다.
문제는 마인크래프트가 Log4j를 사용하는 수천 개의 웹 및 기타 기반 애플리케이션 중 하나에 불과하다는 것입니다.
이 익스플로잇의 근원을 조사해본 결과, 취약한 애플리케이션 보다 취약하지 않은 애플리케이션을 꼽는 것이 훨씬 쉬웠습니다.
전 세계의 거의 모든 웹 호스트가 이 익스플로잇의 영향을 받았으며, 여기에는 Valve의 대규모 Steam 게임 배포 서비스와 Apple의 iCloud 또한 포함됩니다.
Java가 동작하는 방식으로 인해, 이 취약점은 Java 애플리케이션에서 매우 흔히 발생하는 익스플로잇입니다.
기본적으로, Java는 코드와 데이터를 혼합하는 경향이 있기 때문에 신중하지 않으면 이러한 버그가 쉽게 발생할 수 있습니다.
이 경우 Log4j 도구는 실행 코드에 로그인하기 위한 문자열을 변환하게 됩니다.
서버가 Log4j를 통해 사용자가 입력한 텍스트를 파싱하는 경우, 해당 텍스트는 원격 시스템에서 실행될 명령을 포함하도록 형식화될 수 있으며, 따라서 효과적으로 전체 시스템의 권한으로 호스트 시스템에서 원격으로 코드를 실행할 수 있는 권한을 얻을 수 있습니다. 이로써 누구나 Log4j를 실행하는 모든 시스템을 완전히 제어할 수 있게 됩니다.
이 취약점은 Log4j 버전 2.15.0에서 이미 패치되었지만, 이는 엄청나게 많은 애플리케이션의 내부에 포함되어 있습니다.
Java 애플리케이션만 Log4j를 사용할 수 있는 것은 아닙니다. 따라서 타사 애플리케이션 개발자의 소프트웨어 패치 속도는 다소 느릴 수 있으며, 경우에 따라 자신의 애플리케이션이 실제로 log4j를 포함하고 있다는 사실조차 인지하지 못할 수 있습니다.
아직 시스템을 패치하지 않았거나, 패치할 수 없는 경우에는 Apache의 권고를 확인하시기 바랍니다.
해당 취약점에 대한 최신 정보는 이 글에서 계속해서 업데이트 될 예정입니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| TinyNuke 인포 스틸링 악성코드, 프랑스 사용자들 노려 (0) | 2021.12.14 |
|---|---|
| 새로운 Rust 기반 랜섬웨어인 BlackCat, 실제 공격에서 발견돼 (0) | 2021.12.13 |
| Dark Mirai 봇넷, TP-Link 라우터의 RCE 취약점 통해 배포돼 (0) | 2021.12.10 |
| [긴급] Apache Log4j 보안 취약점 대응 방안 안내 (0) | 2021.12.10 |
| 악성 Notepad++ 인스톨러, StrongPity 악성코드 배포해 (0) | 2021.12.10 |
댓글 영역