저희 SK쉴더스는 Log4j 관련하여 지속적으로 업데이트 하고 있습니다.
2021-12-15: 보안패치 권고 및 스크립트 배포
2021-12-16 : Log4j RCE 우회 탐지 패턴 5개 추가
2021-12-22 : Log4j탐지_스크립트_매뉴얼 업데이트(v0.2)
안녕하세요? SK쉴더스입니다.
최근 Apache 社 자바 기반 오픈소스 로깅 유틸리티 ‘Log4j 2’의 Zero-Day 취약점이 발견되었습니다.
Log4j2에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점을 악용한 원격 명령실행(RCE)이 가능합니다.
로깅 유틸리티 ‘Log4j 2’ 사용 여부 파악 후 적극적인 보안 패치 및 흔적 점검을 필수적으로 수행해주시기 바랍니다.
사고심각도 : (긴급)Critical
주요 내용
- 최근 Apache 社 자바 기반 오픈소스 로깅 유틸리티 ‘Log4j 2’의 Zero-Day 취약점
- Log4j2에 존재하는 JNDI(Java Naming and Directory Interface) 인젝션 취약점을 악용한 원격 명령실행(RCE) 가능
[Log4j2 취약점]
취약점 코드 : CVE-2021-44228 (원격코드 실행 취약점, RCE )
영향 받는 버전 : Apache Log4j2 (2.0-Beta9 ~ 2.14.1 모든 버전
- 2021년 12월 11일 KISA 보안공지
URL: https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
사고 insight
- 해당 취약점을 악용하여 ‘Log4j 2’를 사용 중인 서버를 거점으로 인접 서버 및 PC 감염 및 내부 네트워크 장악 가능
- 로깅 유틸리티 ‘Log4j 2’ 사용 여부 파악 후 적극적인 보안 패치 및 흔적 점검 필수
점검 방법
- 스크립트 통한 해킹 흔적 점검 (상세 사용법: log4탐지_스크립트_메뉴얼.docx)
1. 스크립트 파일 실행 ( 다운로드 : Windows, Linux )
1) OS 환경에 일치하는 스크립트 압축 해제
2) 관리자 권한 실행
- Windows: 관리자 권한 실행
- Linux: 관리자 실행 권한 부여, 관리자 권한 실행 (관리자 권한 부여: chmod 755 log4j_Detection_스크립트.sh)
3) 로그 저장 경로 입력
- “Please enter the Log folder path :” 메시지 확인후 웹 로그 저장 경로를 입력(절대 경로)
예) Please enter the Log folder path : /var/log
예) Please enter the Log folder path : C:\Windows\apache\log
2. 실행 경로 내 파일 확인 (result/result.txt)
- 탐지: result.txt 파일 탐지 로그 삽입 (공격자의 접근이 있었음)
- 미탐지: result.txt 파일 삽입 로그 없음 (공격자의 접근 없음)
3. 결과 파일(result.txt)에서 취약점 실행 탐지로그 이상 유무 확인
[CVE-2021-44228(PoC)]
※ 문의처 : SK쉴더스 Top- CERT팀 top-cert@sk.com