구체적인 문의 내용
Log4j 취약점이 상당히 많은 제품에 영향을 준다고 하는데, 우리 시스템에 영향이 있는 건지 어떻게 알수 있나요? 이미 공격을 당한 것인지도 알 수 있는 방법이 있나요?
긴급하게 중요한 정보들만 공유합니다. 관련 취약점들이 계속 나올수 있기 때문에 지속적으로 모니터링해서 적합한것들을 사용하세요~
이 취약점의 원격 공격 원리는? (간단한 이해)
– https://www.fastly.com/blog/digging-deeper-into-log4shell-0day-rce-exploit-found-in-log4j
– https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
이 취약점이 어떤 제품들에게 노출되어 있는가? (취약한 제품 목록)
– log4j를 사용하는 제품들이 진짜로 상당히 많다는 것을 알 수 있을 것입니다.
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
이미 공격을 당했는지 어떻게 알 수 있는가? (침해 여부 점검용 python 프로그램)
– 0-day 취약점의 엠바고는 생각보다 깁니다(CVE의 공식적 엠바고는 90일이고, KISA도 2개월로 정의되어 있지만 경우에 따라 연장이 가능)
– 이 점을 생각한다면, 이 취약점이 제조사에 알려진 것은 최소한 2개월 이전인 10월 초라는 것을 고려하면 이미 공격을 당한 것인지 확인하는 것은 무엇보다도 중요합니다
– log4j의 로그 파일의 문자열 검색 방식의 python 프로그램으로써 공격 흔적으로 검색해줍니다.
https://github.com/Neo23x0/log4shell-detector
취약한지 어떻게 알수 있는가요? (취약점 점검용 스캐너)
– 윈도우용, 리눅스용, 기타 다른 운영체제용 Scanner (로컬 스캔): https://github.com/logpresso/CVE-2021-44228-Scanner
– Qualys사 스캐너 (로컬 스캔), Output이 군더더기 없이 깔끔함:
- 윈도우용 스캐너: https://github.com/Qualys/log4jscanwin ⇐ 바이너리가 없고, 컴파일해야 함
- 리눅스용 스캐너: https://github.com/Qualys/log4jscanlinux ⇐ shell script로 되어 있고, output이 군더더기 없이 깔끔함
Q&A 형식으로 알아보는 대응 가이드 – KISA
Q&A로 알아보는 로그4j 취약점 대응 가이드 (KISA)
기타 참고자료
– 확인방법과 보안시스템 조치방법
https://www.picussecurity.com/resource/blog/simulating-and-preventing-cve-2021-44228-apache-log4j-rce-exploits
– 공격스텝과 해당 스텝별 WAF설정, Log4j설정방어 포인트
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
– 지금까지 알려진 Apache Log4j의 취약점 목록(CVE)
https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-37215/Apache-Log4j.html
log4j Scanner로 무료 원격 스캔을 해드립니다
– 외부자 관점의 원격 스캔이며, 10대 이하에 대해서 무료로 서비스 제공함
– 문의: info@wikisecurity.net, 02-322-4688