Action disabled: revisions

Q> Log4j RCE (CVE-2021-44228) 취약점 어떻게 확인할 수 있나요?

Log4j 취약점이 상당히 많은 제품에 영향을 준다고 하는데, 우리 시스템에 영향이 있는건지 어떻게 알수 있나요? 이미 공격을 당한 것인지도 알수 있는 방법이 있나요?


A>

긴급하게 중요한 정보들만 공유합니다. 관련 취약점들이 계속 나올수 있기 때문에 지속적으로 모니터링해서 적합한것들을 사용하세요~

[] 이 취약점의 원격공격 원리는? (간단한 이해)

[] 이 취약점이 어떤 제품들에게 노출되어 있는가? (취약한 제품 목록)

- log4j를 사용하는 제품들이 진짜로 상당히 많다는 것을 알수 있을껍니다.
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

[] 이미 공격을 당했는지 어떻게 알수 있는가? (침해여부 점검용 python 프로그램)

- 0-day 취약점의 엠바고는 생각보다 깁니다(CVE의 공식적 엠바고는 90일이고, KISA도 2개월로 정의되어 있지만 경우에 따라 연장이 가능)
- 이 점을 생각한다면, 이 취약점이 제조사에 알려진것은 최소한 2개월 이전인 10월초라는 것을 고려하면 이미 공격을 당한것인지 확인하는 것은 무엇보다도 중요합니다
- log4j의 로그파일의 문자열 검색 방식의 python 프로그램으로써 공격흔적으로 검색해줍니다.
- https://github.com/Neo23x0/log4shell-detector

[] 취약한지 어떻게 알수 있는가요? (취약점 점검용 스캐너)

- 윈도우용, 리눅스용, 기타 다른 운영체제용 Scanner (로컬 스캔): https://github.com/logpresso/CVE-2021-44228-Scanner
- Qualys사 스캐너 (로컬 스캔), Output이 군더더기 없이 깔끔함:

[] Q&A 형식으로 알아보는 대응 가이드 - KISA

[] 기타 참고자료

[] log4j Scanner로 무료 원격스캔을 해드립니다

- 외부자 관점의 원격 스캔이며, 10대 이하에 대해서 무료로 서비스 제공함
- 문의: info@wikisecurity.net, 02-322-4688