Logback 원격코드실행 취약점(CVE-2021-42550) 주의!

 

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
Logback 제품에서 취약점(CVE-2021-42550)이 보고되어 사용자들의 주의가 필요합니다. 

 

Logback(로그백) 이란?
Java의 로깅 라이브러리인 Log4j를 기반으로 개발된 로깅 프레임워크

 

이번 Logback 취약점의 경우 특정한 전제 조건이 우선적으로 성립되어야만, 해당 취약점을 이용한 공격이 가능하기 때문에 위험도가 높다고 보긴 어렵습니다.

 

다만, 또 다른 침해사고와 연계된 공격에 악용될 소지를 모두 배제할 수는 없기 때문에 가급적 최신 보안 업데이트를 권장해 드립니다. 

 

보안 취약점 내용

Logback의 설정 파일에 접근 및 쓰기권한을 가진 공격자가 JMSAppender를 통해 JNDI lookup을 실행이 가능하여 원격코드실행(RCE)이 가능하게 됩니다.

단, 해당 취약점이 악용되려면 다음과 같은 모든 전제조건이 만족되어야 합니다. 

 

- 사용자가 사용중인 Logback의 버전이 1.2.9 이전 버전
- 공격자가 Logback 설정 파일(logback.xml)에 접근 및 쓰기 권한 소유
- 공격 전에 응용 프로그램의 다시 시작 혹은 scan="true" 설정을 통하여 공격자가 변조한 logback.xml 설정 파일이 시스템에 적용  

 

취약한 버전 

Logback 1.2.9 이전의 모든 버전

 

취약점 제거 방법

Logback 1.2.9 버전으로 업데이트

http://logback.qos.ch/news.html

참고 :

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36396