SK쉴더스는 ADT캡스의 새로운 시작 입니다. 안녕을 지키는 기술 SK shieldus
확인

Event & Notice

Apache 社 자바 기반 로깅 유틸리티 Log4j 2에서 발생하는 취약점 긴급 패치 및 점검 필요 2021-12-15

저희 SK쉴더스는 Log4j 관련하여 지속적으로 업데이트 하고 있습니다.


 2021-12-15: 보안패치 권고 및 스크립트 배포

 2021-12-16 : Log4j RCE 우회 탐지 패턴 5개 추가

 2021-12-22 : Log4j탐지_스크립트_매뉴얼 업데이트(v0.2)

 

안녕하세요? SK쉴더스입니다.

최근 Apache 社 자바 기반 오픈소스 로깅 유틸리티 ‘Log4j 2’의 Zero-Day 취약점이 발견되었습니다.

Log4j2에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점을 악용한 원격 명령실행(RCE)이 가능합니다.

로깅 유틸리티 ‘Log4j 2’ 사용 여부 파악 후 적극적인 보안 패치 및 흔적 점검을 필수적으로 수행해주시기 바랍니다.  

 

사고심각도 : (긴급)Critical
 

 

주요 내용

 

    - 최근 Apache 社 자바 기반 오픈소스 로깅 유틸리티 ‘Log4j 2’의 Zero-Day 취약점
    - Log4j2에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점을 악용한 원격 명령실행(RCE) 가능
      [Log4j2 취약점]
      취약점 코드 : CVE-2021-44228 (원격코드 실행 취약점, RCE )
      영향 받는 버전 : Apache Log4j2 (2.0-Beta9 ~ 2.14.1 모든 버전

    - 2021년 12월 11일 KISA 보안공지
      URL: https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389

 


사고 insight


    - 해당 취약점을 악용하여 ‘Log4j 2’를 사용 중인 서버를 거점으로 인접 서버 및 PC 감염 및 내부 네트워크 장악 가능

    - 로깅 유틸리티 ‘Log4j 2’ 사용 여부 파악 후 적극적인 보안 패치 및 흔적 점검 필수

 

 

점검 방법

 

    - 스크립트 통한 해킹 흔적 점검 (상세 사용법: log4탐지_스크립트_메뉴얼.docx)

         1. 스크립트 파일 실행 ( 다운로드 : WindowsLinux ) 

            1) OS 환경에 일치하는 스크립트 압축 해제

            2) 관리자 권한 실행

               - Windows: 관리자 권한 실행

               - Linux: 관리자 실행 권한 부여, 관리자 권한 실행 (관리자 권한 부여: chmod 755 log4j_Detection_스크립트.sh) 

            3) 로그 저장 경로 입력

               - “Please enter the Log folder path :” 메시지 확인후 웹 로그 저장 경로를 입력(절대 경로)

              예) Please enter the Log folder path : /var/log

              예) Please enter the Log folder path : C:\Windows\apache\log

 

            2. 실행 경로 내 파일 확인 (result/result.txt)

               - 탐지: result.txt 파일 탐지 로그 삽입 (공격자의 접근이 있었음)

               - 미탐지: result.txt 파일 삽입 로그 없음 (공격자의 접근 없음)

 

            3. 결과 파일(result.txt)에서 취약점 실행 탐지로그 이상 유무 확인

             

              

                                                                                  [CVE-2021-44228(PoC)]

 

 

※ 문의처 : SK쉴더스 Top- CERT팀 top-cert@sk.com