티스토리 뷰
12월 20일에 포스팅한 2021년 최악의 전산 보안 부분의 큰 사건인 LOG4J 보안취약점에 대해서 글을 포스팅했었는데, 오늘 저녁 늦게 한국소프트웨어협회에서 연락이 왔다. 아파치(Apache) Log4j 보안에 관련되어 보안 업데이트를 권고하는 내용의 공문과 메일을 보냈으니 확인하고 꼭 조치하고, 설문조사에 응답해달라는 업무 요청이었다. 전산인들끼리는 난리가 난 사안이지만 일반인들은 전혀 몰라도 상관이 없을 듯한 일인데 참 웃프다. IT 전산 서비스 시스템들은 평소 아무 문제없이 잘 돌아다니고, 작동이 되면 찬밥에 무시를 당하다가, 이런 일이 발생하면 난리법석이 된다. 이러다가 사회적으로 문제가 발생이 되면 뒤늦게 각계 각층에서 관심들을 가진다.
2021.12.20 - [이슈] - 2021년 최악의 IT 보안 사태 - LOG4J 로그4J 보안취약점
2021년 최악의 IT 보안 사태 - LOG4J 로그4J 보안취약점
오늘 전산, IT, 보안에 관련된 최악의 보안 사태. 인터넷 역사 중에 최악의 보안 결함 사건에 대해서 알아보자. LOG4J 사태, 로그4J 보안취약점으로 애플, 텐센트, 아마존, 테슬라, 클라우드플레어,
ksjkhy4539.tistory.com
Apache Log4j 2(인터넷 로그 기록 프로그램) 주요 내용
과학기술정보통신부에서는 아파치(Apache) Log4j 2 - 인터넷 로그기록 프로그램 서비스에 대한 보안취약점이 발견되어 긴급 보안 업데이트를 권고하고 있다.
해당 서비스는 홈페이지의 운영, 관리 등 목적으로 로그 기록을 남기기 위해 사용되는 프로그램이며, 업데이트를 하지 않을 경우 해커들이 취약점을 악용해서 원격에서 공격 코드를 실행시킬 수 있어 심각한 피해를 받을 수 있다.
며칠 전에 포스팅한 내용의 연장이지만 과학기술정보통신부 및 KISA(한국인터넷진흥원)에서 내려온 공문과 대응가이드를 간략하게 소개를 해보려 한다. Log4j에 대해서는 위 글 서두에 앞서 포스팅한 글을 먼저 정독을 한번 해보자.
Log4j는 일반적인 웹사이트, 쇼핑몰, 그룹웨어(전자결재 전산 시스템) 등 오라클 JAVA를 기반으로 한 JVM(Java Virtual Machine) 환경을 사용하는 모든 전산 시스템 서비스에서 사용을 하고 있다. 특히 오픈 소스 기반의 응용 소프트웨어라서 다양한 분야에서 S/W 개발자들이 활동중인 툴이다.
Log4j 설치 여부 확인하는 방법
● 리눅스(Linux) 시스템에서의 Log4j 설치 여부 확인 방법
dpkg -l | grep log4j
find / -name 'log4j*'
● 윈도우(MS Windows) 시스템에서의 Log4j 설치 여부 확인 방법
Windows Explorer의 검색 기능(Log4j 검색)을 이용
Log4j 취약점을 이용한 해킹 침해사고 발생 시 어디에 신고할까?
■ 한국인터넷진흥원(KISA) 인터넷침해대응센터 종합상황실
- 전화번호 02-405-4911~5
- 이메일 : certgen@krcert.or.kr
■ KISA 인터넷보호나라 & KrCERT 홈페이지 (https://boho.or.kr) 접속 후
상담 및 신고 메뉴에서 해킹사고로 신고
■ Log4j 영향을 받는 버전
Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
* 2.0-beta9 ~ 2.14.1 이하 (2.3.1, 2.12.2, 2.12.3 제외)
Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-45046)
* 2.0-beta9 ~ 2.15.0 버전 (2.3.1, 2.12.2, 2.12.3 제외)
Apache Log4j 1.x에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)
* 1.x 버전 JMSAppender를 사용하지 않는 경우 취약점 영향 없음
■ Log4j 보안 이슈에 대한 대응방안
제조사 홈페이지를 통해 최신 버전으로 업데이트 적용을 해야 한다. 신규 버전을 확인 후 업데이트를 하자.
CVE-2021-44228, CVE-2021-45046
Java 8 이상 : Log4j 2.17.0으로 업데이트
Java 7 : Log4j 2.12.3으로 업데이트
Java 6 : Log4j 2.3.1으로 업데이트
CVE-2021-4104
Java 8 : Log4j 2.17.0으로 업데이트
Java 7 : Log4j 2.12.3으로 업데이트
Java 6 : Log4j 2.3.1으로 업데이트
신규 업데이트가 불가능하면 아래의 조치를 적용하자.
CVE-2021-44228, CVE-2021-45046
JndiLookup 클래스를 경로에서 제거 (아래 명령어)
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
CVE-2021-4104
JMSAppender 사용 확인 후 코드 수정 또는 삭제
※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안 위협에 노출될 가능성이 높아 최신 버전(2.x) 업데이트 적용 권고
1. 과학기술정보통신부 & KISA : Log4j 보안 취약점 대응 가이드 PDF 문서 파일 다운로드
2. apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html
3. 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
4. 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
5. 제조사별 현황 : https://github.com/NCSC-NL/log4shell/tree/main/software
6. 탐지정책 : https://rules.emergingthreatspro.com/open/suricata-5.0/rules/emerging-exploit.rules
7. 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
8. 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104