유비쿼터스 Apache Log4j Java 기반 로깅 라이브러리의 중요한 제로 데이 취약점에 대한 개념 증명 익스플로잇이 현재 온라인에서 공유되고 있어 일반 사용자와 기업 모두 지속적인 원격 코드 실행 공격에 노출된 상태다라고 브리핑컴퓨터에서 보도했다.

Log4j는 Apache Foundation에서 개발했으며 엔터프라이즈 앱과 클라우드 서비스 모두에서 널리 사용된다.

가정 사용자는 Java 사용이 적은 편이긴 하지만(Minecraft와 같은 인기 있는 게임은 여전히 사용하고 있음) 엔터프라이즈 소프트웨어에서는 웹 앱 및 Apple, Amazon, Cloudflare, Twitter 및 Steam의 제품에 이르기까지 원격코드 실행 취약점 익스플로잇에 취약할 수 있다.

현재 CVE-2021-44228로 알져진 Log4Shell 또는 LogJam으로 명명된 이 버그는 Log4j 2.0-beta9에서 2.14.1 버전의 시스템에서 완전한 시스템 장악을 허용하는 인증되지 않은 원격코드실행 취약점이다.

알리바바 클라우드(Alibaba Cloud) 보안 팀은 11월 24일 Apache에 이 취약점을 보고했다. 또한 CVE-2021-44228이 Apache Struts2, Apache Solr, Apache Druid, Apache Flink 등을 포함한 여러 Apache 프레임워크의 기본 구성에 영향을 미친다고 밝혔다.

어제 GitHub에 첫 번째 개념 증명 익스플로잇이 게시된 후 위협 행위자는 인증이 필요하지 않은 원격으로 악용 가능한 이 보안 결함에 취약한 시스템에 대해 인터넷에서 검색하기 시작했다.

또한 CERT NZ(뉴질랜드 국가 컴퓨터 비상 대응팀)은 현실에서의 적극적인 악용에 대한 보안 권고 경고를 발표했다.

넥스트론 시스템즈(Nextron Systems) 연구 책임자인 플로리안 로스(Florian Roth)는 CVE-2021-44228 악용 시도를 탐지하기 위한 YARA 규칙 세트를 공유했다.

아파치는 최대 심각도를 할당받은 CVE-2021-44228 취약점을 해결하기 위해 Log4j 2.15.0을 출시했다.

사용자는 패치 업데이트 이외에도 시스템 속성 "log4j2.formatMsgNoLookups"를 "true"로 설정하거나 클래스 경로에서 JndiLookup 클래스를 제거하여 이전 릴리스(2.10 이상)에서도 완화될 수 있다.

라이브러리를 사용하는 사람들은 공격자가 이미 악용 가능한 대상을 찾고 있음을 인지하고 최대한 빨리 최신 릴리스로 업그레이드하는 것이 좋다.

란도리 공격 팀(Randori Attack Team)은 "하트블리드(Heartbleed) 및 쉘쇼크(Shellshock)와 같은 세간의 이목을 끄는 다른 취약점과 마찬가지로 앞으로 몇 주 동안 이 취약점에 영향을 받는 제품이 점점 더 많이 발견될 것이라고 생각한다. 악용이 쉽고 적용 범위가 넓기 때문에 랜섬웨어 공격자가 이 취약점을 즉시 악용할 것으로 의심된다"라고 말했다.

보안 회사인 루나섹(Lunasec)도 CVE-2021-44228 RCE 익스플로잇을 사용하는 공격의 심각성을 강조했다.

루나섹은 "많은 서비스가 이 익스플로잇에 취약하다. Steam, Apple iCloud와 같은 클라우드 서비스 및 Minecraft와 같은 앱은 이미 취약한 것으로 밝혀졌다. Apache Struts를 사용하는 사람은 누구나 취약할 수 있다. 우리는 2017년 Equifax 데이터 침해와 같은 침해 사고에서 유사한 취약점이 악용되는 것을 본 적이 있다."라고 언급했다.

10일 저녁 사이버 보안 회사 사이버리즌(Cybereason)의 연구원들은 취약점을 완화 설정으로 변경하기 위해 원격 취약한 Log4j 서버를 익스플로잇하는 Logout4Shell이라는 '백신' 패키지를 출시했다.

★정보보안 대표 미디어 데일리시큐!★