Q> Log4j RCE (CVE-2021-44228) 취약점 어떻게 확인할 수 있나요?
Log4j 취약점이 상당히 많은 제품에 영향을 준다고 하는데, 우리 시스템에 영향이 있는건지 어떻게 알수 있나요? 이미 공격을 당한 것인지도 알수 있는 방법이 있나요?
A>
긴급하게 중요한 정보들만 공유합니다. 관련 취약점들이 계속 나올수 있기 때문에 지속적으로 모니터링해서 적합한것들을 사용하세요~
[] 이 취약점의 원격공격 원리는? (간단한 이해)
- https://www.fastly.com/blog/digging-deeper-into-log4shell-0day-rce-exploit-found-in-log4j
- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
[] 이 취약점이 어떤 제품들에게 노출되어 있는가? (취약한 제품 목록)
- log4j를 사용하는 제품들이 진짜로 상당히 많다는 것을 알수 있을껍니다.
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
[] 이미 공격을 당했는지 어떻게 알수 있는가? (침해여부 점검용 python 프로그램)
- 0-day 취약점의 엠바고는 생각보다 깁니다(CVE의 공식적 엠바고는 90일이고, KISA도 2개월로 정의되어 있지만 경우에 따라 연장이 가능)
- 이 점을 생각한다면, 이 취약점이 제조사에 알려진것은 최소한 2개월 이전인 10월초라는 것을 고려하면 이미 공격을 당한것인지 확인하는 것은 무엇보다도 중요합니다
- log4j의 로그파일의 문자열 검색 방식의 python 프로그램으로써 공격흔적으로 검색해줍니다.
- https://github.com/Neo23x0/log4shell-detector
[] 취약한지 어떻게 알수 있는가요? (취약점 점검용 스캐너)
- 윈도우용, 리눅스용, 기타 다른 운영체제용 Scanner (로컬 스캔): https://github.com/logpresso/CVE-2021-44228-Scanner
- Qualys사 스캐너 (로컬 스캔), Output이 군더더기 없이 깔끔함:
- 윈도우용 스캐너: https://github.com/Qualys/log4jscanwin ⇐ 바이너리가 없고, 컴파일해야 함
- 리눅스용 스캐너: https://github.com/Qualys/log4jscanlinux ⇐ shell script로 되어 있고, output이 군더더기 없이 깔끔함
[] Q&A 형식으로 알아보는 대응 가이드 - KISA
[] 기타 참고자료
- 확인방법과 보안시스템 조치방법 https://www.picussecurity.com/resource/blog/simulating-and-preventing-cve-2021-44228-apache-log4j-rce-exploits
- 공격스텝과 해당 스텝별 WAF설정, Log4j설정방어 포인트 https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
- 지금까지 알려진 Apache Log4j의 취약점 목록(CVE) https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-37215/Apache-Log4j.html
[] log4j Scanner로 무료 원격스캔을 해드립니다
- 외부자 관점의 원격 스캔이며, 10대 이하에 대해서 무료로 서비스 제공함
- 문의: info@wikisecurity.net, 02-322-4688