상세 컨텐츠

본문 제목

심각한 Log4j 보안 취약점, iCloud와 스팀을 포함한 전체 인터넷을 위험에 빠트려

국내외 보안동향

by 알약4 2021. 12. 13. 09:00

본문

Serious Log4j Security Flaw Puts The Entire Internet At Risk, Even iCloud And Steam

 

최근 마인크래프트(Minecraft)를 통한 장난에 대해 들어보셨을 것입니다.

 

친구에게 "${jndi:ldap://"로 시작하는 채팅 메시지를 보낼 경우 친구의 마인크래프트 클라이언트가 브라우저 창을 열고 특정 웹사이트로 이동할 수 있게 됩니다.

 

따라서 장난을 좋아하는 사용자들은 이 마인크래프트의 취약점으로 보이는 문제를 악용하여 친구들에게 충격적이고 혐오스러운 콘텐츠를 보낼 수 있었습니다.

 

하지만, 불행하게도 이는 마인크래프트의 취약점이 아니라 마인크래프트가 로깅에 사용하는 Apache Log4j 라이브러리에 존재하는 취약점인 것으로 나타났습니다.

 

문제는 마인크래프트가 Log4j를 사용하는 수천 개의 웹 및 기타 기반 애플리케이션 중 하나에 불과하다는 것입니다.

 

이 익스플로잇의 근원을 조사해본 결과, 취약한 애플리케이션 보다 취약하지 않은 애플리케이션을 꼽는 것이 훨씬 쉬웠습니다.

 

전 세계의 거의 모든 웹 호스트가 이 익스플로잇의 영향을 받았으며, 여기에는 Valve의 대규모 Steam 게임 배포 서비스와 Apple iCloud 또한 포함됩니다.

 

Java가 동작하는 방식으로 인해, 이 취약점은 Java 애플리케이션에서 매우 흔히 발생하는 익스플로잇입니다.

 

기본적으로, Java는 코드와 데이터를 혼합하는 경향이 있기 때문에 신중하지 않으면 이러한 버그가 쉽게 발생할 수 있습니다.

 

 

<이미지 출처 : https://hothardware.com/news/serious-log4j-security-flaw-puts-the-entire-internet-at-risk-even-icloud-and-steam>

 

 

이 경우 Log4j 도구는 실행 코드에 로그인하기 위한 문자열을 변환하게 됩니다.

 

서버가 Log4j를 통해 사용자가 입력한 텍스트를 파싱하는 경우, 해당 텍스트는 원격 시스템에서 실행될 명령을 포함하도록 형식화될 수 있으며, 따라서 효과적으로 전체 시스템의 권한으로 호스트 시스템에서 원격으로 코드를 실행할 수 있는 권한을 얻을 수 있습니다. 이로써 누구나 Log4j를 실행하는 모든 시스템을 완전히 제어할 수 있게 됩니다.

 

이 취약점은 Log4j 버전 2.15.0에서 이미 패치되었지만, 이는 엄청나게 많은 애플리케이션의 내부에 포함되어 있습니다.

 

Java 애플리케이션만 Log4j를 사용할 수 있는 것은 아닙니다. 따라서 타사 애플리케이션 개발자의 소프트웨어 패치 속도는 다소 느릴 수 있으며, 경우에 따라 자신의 애플리케이션이 실제로 log4j를 포함하고 있다는 사실조차 인지하지 못할 수 있습니다.

 

아직 시스템을 패치하지 않았거나, 패치할 수 없는 경우에는 Apache를 확인하시기 바랍니다.

 

해당 취약점에 대한 최신 정보는 에서 계속해서 업데이트 될 예정입니다.

 

 

 

 

출처:

https://hothardware.com/news/serious-log4j-security-flaw-puts-the-entire-internet-at-risk-even-icloud-and-steam

https://logging.apache.org/log4j/2.x/security.html

https://alyacofficialblog.tistory.com/4341

관련글 더보기

댓글 영역