CVE-2021-44228 - 원격 코드 실행(RCE)을 허용하는 Apache Log4j의 제로 데이 취약점
인증되지 않은 심각한 원격 코드 실행(RCE) 취약점(CVE-2021-44228)이 오픈 소스 로깅 라이브러리 Log4j에보고되었습니다. Akamai는 노출을 방어하기 위해 지난 24시간 동안 고객과 직접 협력해 웹 애플리케이션 방화벽(WAF) 룰을 배포했습니다. Log4j는 널리 사용되는 여러 프레임워크에 통합되어 있어 그 영향이 널리 퍼져 있습니다. 이 취약점은 적극적으로 악용되고 있으며, 실제 악용될 경우 해커가 라이브러리가 포함된 앱을 실행하는 시스템에서 임의의 코드를 실행할 수 있습니다.
이 취약점은 여러 버전의 Log4j 및 이를 기반으로 하는 애플리케이션(Apache Struts2, Apache Solr, Apache Druid, Apache Flink 등)에 영향을 줍니다. 애플리케이션 관리자와 개발자는 Log4j 패키지를 사용하는 애플리케이션을 확인하고 패키지 버전이 취약한 범위(Log4j 버전 2.0~2.14.1)에 있는 경우 가능한 빨리 버전 2.16.0 이상으로 즉시 업데이트하는 것이 좋습니다. 최신 버전은 Log4j 다운로드 페이지에서찾을 수 있습니다.
Akamai는 현재 이 제로 데이 CVE에 대한 방어 조치를 포함하기 위해 기존 Apache 룰에 대한 업데이트를 배포했습니다. 여기에는 Akamai의 Kona Rule Set 또는 적응형 보안 엔진에 대한 업데이트 룰 3000014가 포함됩니다(자동 공격 그룹 엔진을 사용하는 고객의 경우 명령어 인젝션 그룹을 업데이트했습니다). 이 엔진은 Akamai의 Kona Site Defender, Web Application Protector, App & API Protector 제품에 사용되는 엔진입니다. 현재 거부(Deny) 모드에서 이러한 룰 또는 공격 그룹을 활성화한 고객은 다음 보호 엔진 및 버전에 대한 자동 인라인 보호를 받게 됩니다.
Kona Rule Set - 2019년 10월 29일 이후의 모든 버전
자동화된 공격 그룹 - 모든 버전
적응형 보안 엔진 - 모든 버전
인터넷에 연결된 애플리케이션을 호스팅하는 서버가 이미 감염되었을 수 있습니다. 많은 시스템에서 감염의 징후를 식별하기 위해 다음 명령을 실행하면 악용 시도가 표시될 수 있습니다.
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
모든 사용자는 가능한 빨리 Log4j 2.0~2.14.1 버전을 업데이트하는 것이 좋지만, 업데이트할 수 없는 경우 잠재적으로 취약한 컴퓨터에서 아웃바운드 접속을 최대한 제한해야 합니다. 여러 아웃바운드 프로토콜을 사용해 취약한 시스템을 악용할 수 있으므로 특정 아웃바운드 포트나 호스트를 차단하는 것만으로는 충분하지 않을 수 있습니다
Akamai 보안 제품군의 일부인 Guardicore Centra를 보유한 Akamai 고객은 Centra 프로세스 수준 가시성을 활용해 네트워크에서 잠재적으로 위험에 노출될 수 있는 모든 자바 기반 애플리케이션을 식별할 수 있습니다. 그런 다음 고객은 노출을 매핑하고 리스크 수준(예: 인터넷 연결 서비스, 전체 데이터 센터에 노출된 인프라 서비스, 제한된 사용자 및 시스템을 지원하는 로컬 애플리케이션)을 평가할 수 있으며 패치를 배포할 수 있을 때까지 응답이 빠른 리스크 감소 세그멘테이션 룰을 적용할 수 있습니다.
