2번째 Log4j 취약점이 악용되는 동안 3번째 취약점 발견 돼

While attackers begin exploiting a second Log4j flaw, a third one emerges

 

미국 웹 인프라 및 웹 사이트 보안 회사인 Cloudflare가 공격자들이 Log4j 라이브러리의 두 번째 취약점인 CVE-2021-45046을 활발히 악용 시도 중이라 경고했습니다.

 

CVE-2021-45046은 CVSS 점수 3.7을 받았으며 Log4j 버전 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0(CVE-2021-44228을 수정하기 위해 공개됨)에 영향을 미칩니다.

 

ASF(Apache Software Foundation)는 이미 Log4Shell 취약점(CVE-2021-44228)에 대한 패치를 공개했지만, 이 수정 사항은 기본 구성이 아닌 특정 구성에 존재하는 취약점을 부분적으로 해결합니다.

 

Thread Context Map (MDC) 입력 데이터를 제어할 수 있는 공격자는 로깅 구성이 Context Lookup (예: $${ctx:loginId}) 또는 Thread Context Map 패턴(%X , %mdc, %MDC)을 포함한 기본 구성이 아닌 Pattern Layout을 사용 중인 경우 서비스 거부(DoS) 조건을 트리거하는 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 만드는 것이 가능합니다.

 

두 이슈 모두 메시지 조회 패턴에 대한 지원을 제거하고 기본적으로 JNDI 기능을 비활성화하여 CVE-2021-45046을 수정한 버전인 Log4j 2.16.0에서 테스트되었습니다.

 

“CVE-2021-44228에 이어 두 번째 Log4J CVE인 CVE-2021-45046에 등록되었습니다. 이전에 CVE-2021-44228에 대해 발표한 규칙은 이 새로운 CVE와 보호 수준이 동일합니다.”

 

“이 취약점은 현재 활발히 악용되고 있으며, Log4J를 사용하는 사람은 이전에 2.15.0으로 업데이트했더라도 가능한 한 빨리 버전 2.16.0으로 업데이트해야 합니다. 최신 버전은 Log4J 다운로드 페이지에서 찾을 수 있습니다.”

 

하지만 나쁜 소식은 끝나지 않았습니다. 보안 회사인 Praetorian의 연구원들은 초기 Log4Shell을 수정하기 위해 출시된 Log4j 버전 2.15.0의 세 번째 보안 취약점에 대해 경고했습니다.

 

이 세 번째 취약점은 공격자가 특정 상황에서 민감한 데이터를 추출하는 데 악용될 수 있습니다.

 

“하지만 연구를 통해 2.15.0에서 여전히 특정 상황에서 민감 데이터가 유출될 수 있다는 사실을 발견했습니다. 당사는 이 문제에 대한 기술적인 세부 사항을 Apache Foundation에 제보했습니다. 준비가 완료되는 동안 고객은 가능한 한 빨리 2.16.0으로 업그레이드할 것을 강력히 권장합니다.”

 

전문가들은 Log4J 라이브러리 버전 2.16.0을 즉시 설치할 것을 권장했습니다.

 

Microsoft 연구원에 따르면 전 세계 기반 시설이 계속 공격을 받고 있으며 중국, 이란, 북한, 터키의 국가 소속 공격자가 현재 진행 중인 캠페인에서 Log4J 라이브러리의 Log4Shell(CVE-2021-44228)을 악용하는 것으로 나타났습니다.

 

취약점을 악용하는 그룹 중 일부는 중국과 관련된 Hafnium, 이란과 관련된 Phosphorus이며 전자는 이 취약점을 통해 가상화 인프라를 공격하고, 후자는 랜섬웨어를 배포합니다.

 

Microsoft 전문가들은 또한 여러 액세스 브로커가 Log4Shell 취약점을 사용하여 타깃 네트워크에 대한 초기 액세스 권한을 얻은 다음 서비스형 랜섬웨어(ransomware-as-a-service) 계열사에 판매하기 시작했다고도 밝혔습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125707/hacking/log4j-new-flaws.html

https://www.praetorian.com/blog/log4j-2-15-0-stills-allows-for-exfiltration-of-sensitive-data/