I. 공격 가능한 LOG4J를 통한 JNDI 주입, Log4Shell의 정의
- Apache Log4j 2.0.0 ~2.14.1 모든 버전에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)
- Log4j의 취약점을 이용 대상서버의 모든 권한을 취득하여 데이터 불법 취득/삭제, 악성코드 실행 등이 가능
II. Log4Shell의 공격방법 및 해결방안
가. Log4Shell 공격방법
 |
- 출처: https://www.kengilmour.com/log4shell-jndi-injection-via-attackable-log4j/
나. Log4Shell 해결방안
| 해결방안 | 버전 | 설명 |
| JndiLookup 클래스 경로 제거 | 2.0-beta9 ~ 2.10.0 | - zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class |
| 환경변수 변경 | 2.10 ~ 2.14.1 | - log4j2.formatMsgNoLookups 환경변수 true로 설정 - LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수 true로 설정 - 시스템 환경에 맞게 변경, 버전 업데이트를 권고 |
| 업데이트 | all | - 제조사의 홈페이지를 통해 최신버전(2.16.0)으로 업데이트 적용 |
- 취약점이 발견된 Log4j 버전이 적용되어있는 전자정부 프레임워크에 대한 취약점 제거 필요
III. 전자정부 프레임워크에 적용된 Log4j 버전
| 전자정부 프레임워크 | Log4j 적용 버전 |
| eGovframe 3.1 | Log4j 2.0 |
| eGovframe 3.5 | Log4j 2.1 |
| eGovframe 3.6 | Log4j 2.5 |
| eGovframe 3.7 | Log4j 2.8.2 |
| eGovframe 3.8 | Log4j 2.10.0 |
| eGovframe 3.9 | Log4j 2.11.2 |
| eGovframe 3.10 | Log4j 2.12.1 |
| eGovframe 4.0(Beta) | Log4j 2.14.0 |
- 출처: https://www.egovframe.go.kr/home/ntt/nttRead.do?menuNo=74&bbsId=6&nttId=1838
반응형
'IT기술노트 > 디지털보안' 카테고리의 다른 글
| 제로트러스트(Zero Trust) (0) | 2023.07.25 |
|---|---|
| 2023년 개인정보 7대 이슈 (0) | 2023.02.23 |
| 키 스트레칭(Key Stretching) (0) | 2022.12.09 |
| 정보보호 공시제도 (0) | 2022.04.07 |
| OWASP, 2021 OWASP TOP 10 (0) | 2021.11.17 |
| 토르 네트워크(Tor Network) (0) | 2021.11.17 |
| 동형암호 (Homomorphic Encryption, HE) (0) | 2021.08.19 |
| ASLR (Address Space Layout Randomization) (0) | 2021.06.24 |
댓글