S2W, Log4j 보안 취약점 대응 방안 발표 - 분석보고서
2021년 12월 17일
트위터로 보내기페이스북으로 보내기구글플러스로 보내기

S2W(대표 서상덕, https://s2w.inc/)는 Logs of Log4shell (CVE-2021–44228) 분석 보고서를 발표하고, Log4j 대응 방안을 소개했다. 

 

S2W 곽경주 이사는 “자사 CTI 그룹 분석에 따르면, Log4j 취약점을 이용한 크립토마이너, 봇넷, 랜섬웨어 등의 악성코드 유포가 활발히 이뤄지고 있고, 현재 패치 되지 않은 시스템을 대상으로 한 무차별적인 공격은 이미 시작된 상태다.” 라고 말하며, “CVE-2021-44228은 아파치 서버뿐만 아니라, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향을 미친다”라고 우려를 표했다. 

 

S2W는 Log4j을 비롯한 전반적인 보안 취약점 대응을 위해 사내 오픈소스 사용 현황 파악이 필요하다고 지적했다. 이후 내부에서 사용하는 오픈소스와 관련된 취약점이 공개되었을 경우, 자동화된 알림을 줄 수 있는 시스템 역시 필요하다. 보안 위협으로 인해 전체 시스템에 대한 동시다발적 조치가 어려울 경우, 우선순위에 따른 순차적 조치가 필요하며 이를 위해서는 대고객용 시스템, 외부에서 접속 가능한 직원용 업무 사이트 등 내부 자산에 대한 용도별 분류와 사용 중인 서비스에 대한 파악이 선행되어야 한다. 또한 평소에 국내외 컨퍼런스 및 보안 벤더들의 취약점, 악성코드 관련된 보고서와 인텔리전스를 주기적으로 확인하고 내재화하는 작업을 지속적으로 진행해야 한다고 강조했다. 

 

28c991c002b1f12ffd54bd179f974808_1639684613_3343.png


S2W의 ‘Logs of Log4shell (CVE-2021–44228) 보고서’는 로그프레소에서 자체 제작한 취약점 스캐너와 같이 내부에서 인프라들의 취약점을 점검할 수 있는 도구, 원격에서 다수의 사이트에 대한 취약 여부를 점검할 수 있는 도구 등 최근에 빠르게 제작되고 있는 국내외 다양한 log4j 취약점 탐지 및 도구들을 엄선하여 소개하고 있다. 

 

S2W는 △Tomcat △Minecraft △Redis △Apache Struts △Apache Solr △Apache Druid △Apache Flink △Apache Dubbo △ElasticSearch △Flume △Logstash △Kafka △Spring-Boot-starter-log4j2 등을 포함해 150여개 이상의 서비스가 CVE-2021-44228 취약점에 영향을 받는 서비스라며 각별한 주의가 필요하다고 강조했다. 

 

S2W는 자사 고객들을 위한 별도 정보 전달 채널인 S2Gether 에서 취약점 인지 이후 현재까지 신속하게 관련 정보를 공유하고 있다. 또한 S2W의 CTI 솔루션인 ‘자비스(Xarvis)’에는 다양한 채널에서 수집되는 이번 취약점 관련 정보를 업데이트 하고 있고, 관련 IoC (침해지표) 역시 지속적으로 게시하고 있다. 

 

‘Logs of Log4shell (CVE-2021–44228) 보고서’의 주요 내용은 다음과 같다.

  • 소프트웨어 취약점은 언제든 발생할 수 있으며 log4j와 같이 널리 사용되는 오픈소스를 활용할 경우, 향후 취약점 발생 및 그에 따른 대응을 위한 사전 준비가 필요하다.
  • 내부 자산에서 사용하는 서비스 등에 대한 주기적인 자산 식별이 필요하다.
  • 취약점을 악용하여 유포되는 악성코드 및 공격도 빠르게 확산 중이다.
  • 취약점을 활용한 Mirai, Kinsing, Muhstik 악성코드 유포 사례가 보고 되고 있으며, 이 외에도 단순 공격 시도가 지속적으로 발생하고 있다.
  • 다크웹 상에서도 log4j 취약점 관련 게시글이 등장하여 확산 중이다.
  • Tencent Cloud, Alibaba Cloud 의 유출 정보를 업로드 한 공격자가 중국 관련 기업을 공격할 때 log4j 취약점을 수차례 사용하였다는 내용을 다크웹 포럼 상에서 언급하였다. 

S2W가 발표한 log4j 취약점 대응 방안은 다음과 같다.

1.  log4j를 최신 버전으로 업데이트해야 한다.

·  다운로드 주소: https://logging.apache.org/log4j/2.x/download.html

2.  2.10.0 이상의 버전에서는 formatMsgNoLookups 속성을 True로 설정해야 한다.

·  실행 명령어: echo “export LOG4J_FORMAT_MSG_NO_LOOKUPS=true” >> /etc/profile.d/blockzero.sh

3.  2.10.0 미만 버전은 로그 문자열 패턴 변경 또는 JndiLookup 클래스를 경로에서 제거해야 한다.

·  실행 명령어: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

S2W 오펜시브 리서쳐 이대진 연구원은 “log4j의 구버전(1.x)을 사용하면 안전하다는 일부의 얘기는 잘못된 사실이며, 1.2 버전에서도 이번 log4shell 과 유사한 형태의 취약점이 발견되어 조치해야 한다는 공식 발표가 있었다. 또한, log4j 1.x 버전은 지원이 종료된 버전으로 다수의 취약점이 발견되더라도 더 이상 패치가 나오지 않을 예정이므로 가장 최신 버전으로 업데이트 할 것을 권장한다”고 강조했다.

그래픽 / 영상
많이 본 뉴스