두 번째 Log4j 취약점 발견, 패치 이미 공개돼

Second Log4j vulnerability discovered, patch already released

 

보안 전문가들이 수 일에 걸쳐 CVE-2021-44228 취약점을 패치 및 완화한 후 지난 화요일, Apache Log4j와 관련된 두 번째 취약점이 발견되었습니다.

 

새로운 취약점인 CVE-2021-45046은 Apache Log4j 2.15.0의 CVE-2021-44228을 해결하기 위한 패치가 "특정 비기본 구성에서 완전하지 않아” 발생합니다.

 

CVE 설명에서는 "이를 통해 공격자는 JNDI Lookup 패턴을 사용하여 악의적인 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 발생시킬 수 있다"고 언급되었습니다.

 

Apache는 이미 이 문제에 대한 패치인 Log4j 2.16.0을 공개했습니다. CVE는 Log4j 2.16.0이 메시지 조회 패턴에 대한 지원을 제거하고 디폴트로 JNDI 기능을 비활성화하여 문제를 해결했다고 설명했습니다. 이들은 해당 문제는 클래스 경로에서 JndiLookup 클래스를 제거하여 이전 릴리스에서 완화될 수 있다고 밝혔습니다.

 

Netenrich의 취약점 사냥꾼인 John Bambinek은 ZDNet 측에 이 해결책은 JNDI 기능을 완전히 비활성화하는 것이라고 설명했습니다. 이는 최신 버전의 기본 동작입니다.

 

Bambinek은 아래와 같이 설명했습니다.

 

"최소 12개의 그룹이 이 취약점을 사용하고 있기 때문에, JNDI를 패치하거나 제거하거나 클래스 경로에서 제거하기 위한 즉각적인 조치를 취해야 합니다."

 

애플리케이션에서 오류 메시지를 기록하기 위한 Java 라이브러리인 Log4j에 존재하는 원래 취약점이 지난 주부터 헤드라인을 장식했습니다. Cloudflare에 따르면, 악용은 12월 1일에 시작되었으며 CERT New Zealand에서 초기 경보를 발행한 후 CISA와 영국의 NCSC에서도 경보를 발행했습니다.

 

보안 회사인 ESET은 Log4j 악용 시도가 발생한 위치를 보여주는 지도를 공개했으며, 미국, 영국, 터키, 독일 및 네덜란드에서 가장 많이 발생했습니다.

 

 

<이미지 출처 : https://www.zdnet.com/article/second-log4j-vulnerability-found-apache-log4j-2-16-0-released/>

 

 

ESET의 최고 연구 책임자인 Roman Kováč는 "탐지된 데이터의 양으로 볼 때 이 문제는 쉽사리 사라지지 않을 대규모 문제임을 알 수 있다”고 밝혔습니다.

 

많은 기업들이 이미 이 취약점을 악용한 공격을 받고 있습니다. 보안 플랫폼 Armis는 ZDNet측에 자사 클라이언트의 3분의 1 이상(35%)에서 log4shell 공격 시도를 탐지했다고 말했습니다. 공격자는 물리적 서버, 가상 서버, IP 카메라, 제조 장치, 출석시스템을 노립니다.

 

 

 

 

출처:

https://www.zdnet.com/article/second-log4j-vulnerability-found-apache-log4j-2-16-0-released/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

https://logging.apache.org/log4j/2.x/download.html