Log4j (log4shell) 취약점 해킹 공격 (CVE-2021-44228)
Log4j는 Apache 재단에서 개발한 Java 로깅 라이브러리 즉 java 기반 어플리케이션 로그를 남기기 위해 사용됩니다. 대부분의 java 프로그램이 Log4j를 사용합니다. JNDI(Java Naming and Directory Interface) 라이브러리를 이용한 취약점입니다. JNDI와 LDAP을 통해 RCE(원격 코드 실행)을 허용한다는 것이 가장 큰 취약점입니다.
java 기반 로깅 라이브러리인 Apache Log4j에서 발견된 치명적인 결함인 Log4Shell 제로데이 취약점입니다. 공식적으로 CVE-2021-44228로 식별되며 CVSS(Common Vulnerability Scoring System)의 심각도 점수는 10점 만점에 10점(CVSS v3.1)입니다.
이 취약점은 2021년 11월 24일 Apache에 비공개로 최초로 보고되었습니다. 우리나라 포함 전세계적으로 매우 이슈화된 취약점으로 지금까지 발견된 제로데이 취약점중 거의 탑 순위에 속하는 취약점입니다.
Log4Shell은 원격 코드 실행(RCE)을 허용할 수 있는 JNDI 삽입(주입) 취약점입니다. 영향을 받는 Apache Log4j 버전의 기록된 메시지에 신뢰할 수 없는 데이터(예:악성 Paylod)를 포함함으로써 공격자는 JNDI 조회를 통해 악성 서버에 연결할 수 있습니다. 결과: 전 세계 어디에서나 시스템에 완전히 접속할 수 있습니다.
log4shell 실제공격 형태
아래 내용은 실제 제가 근무중인 회사의 상단 보안 장비에서 탐지된 로그를 기반으로 작성된 실제 결과물입니다. 참고하시면 도움이 될것입니다.
이와같이 잘알려진 대표적인 해킹 공격 유형과 실제 보안 장비에서 발생되는 로그를 토대로 사례를 알아 보았습니다. 경험상 해킹사고의 시발점은 거창하고 거대한것이 아닙니다. 가장 기본적인 보안 취약점으로부터 시작되는것이 대부분입니다.
대부분 가장 기본적으로 지켜야할 보안 사항을 지키지 않았을때 사고가 발생하는것입니다. 예를들자면 단순한 패스워드 사용, 외부에 불필요하게 열려있는 서비스 포트, OS나 Application 환경설정 미흡, 사용자 부주의(스팸 피싱등) 으로 인한 이슈가 대부분입니다.
우리회사는 괜찮겠지와 같은 안일한 사고방식은 버리고 지금이라도 정보보안에 대한 보안의식을 재정립하는 시간이 되시길 바랍니다.
답글 남기기