CVE-2021-45046, CVE-2021-44228 탐지: Log4j 자바 라이브러리의 취약점

SOC 팀에게 또 다른 큰 두통거리 — 가장 핫한 Log4j 취약점 CVE-2021-45046을 주의하세요! 사이버 보안 세계는 Apache Log4j Java 로깅 라이브러리에 영향을 미치는 중요한 제로데이 취약점 CVE-2021-44228에 대한 착취 시도가 증가하면서 충격을 받았습니다. 동시에 CVE-2021-45046로 추적되는 또 다른 높은 심각도의 Log4j RCE 결함이 등장했습니다. 

CVE-2021-45046 설명

최근의 CVE-2021-45046 취약점은 Log4j 버전 2.16.0이 12월 14일에 출시된 지 하루 만에 발견되었으며, CVSS 점수는 처음에 3.7을 받았습니다. 나중에, 그 위험성이 높게 평가됨에 따라, 보안 영향 등급이 상위로 변경되면서 점수가 9.0으로 급격히 증가했습니다. 이에 따르면 Apache Software Foundation 공지, 에 의하면, 새로 발견된 취약점은 2.0-beta9부터 2.15.0(2.12.2 제외)의 모든 Log4j 버전에 영향을 미칩니다.

Log4Shell (CVE-2021-44228) 설명

또 다른 악명 높은 제로데이 취약점은 처음 발견된 Log4j 에서, Log4Shell or LogJam, 이라는 이름으로 알려져 있으며, 이는 인증되지 않은 원격 코드 실행 문제로 전체 시스템을 손상시킬 수 있습니다. 이 결함은 착취하기 매우 쉽고, 여러 PoC가 온라인에 퍼지면서 적대자들에게 미미한 과제가 됩니다. 결과적으로 해커들은 영향을 받은 서버에 대한 원격 코드 실행 공격을 시작하여 완전한 제어를 얻을 수 있습니다. 

CVE-2021-44228 분석에 따르면 Log4j 2.0-beta9부터 2.14.1까지 실행되는 모든 시스템이 취약합니다. 게다가, 이 보안 문제는 Apache Struts2, Apache Solr, Apache Druid, Apache Flink와 같은 대부분의 Apache 프레임워크에 대한 기본 설정에 영향을 미치기 때문에, 기업과 개별 사용자가 사용하는 다양한 소프트웨어 및 웹 앱이 공격에 노출됩니다. 

Alibaba Cloud의 보안 팀은 처음에 2021년 11월 말에 Apache에 취약점을 발견하고 보고했습니다. 특히, 이는 우선적으로 Minecraft 관련 서버에서 발견되었으며, 적대자들이 매우 인기 있는 게임의 Java 버전을 실행하는 클라이언트에서 악성 코드를 실행하려고 시도했습니다. Log4j에서 문제의 원인이 식별된 후 착취 코드 샘플이 신속하게 온라인에 나타나기 시작했습니다.

현재, 보안 전문가들은 취약한 시스템에 대한 인터넷 전반의 스캔을 보고하고 있습니다. 또한, CERT New Zealand는 경고 를 여러 현실에서의 착취에 대해 공지했습니다.

CVE-2021-44228: Log4j RCE 탐지

취약한 Log4j 버전을 활용하는 모든 사용자는 가능한 한 빨리 log4j-2.15.0-rc1로 업그레이드해야 합니다. 또한, 조직은 CVE-2021-44228과 관련된 악성 활동을 모니터링하고 손상된 증거를 나타내는 이상 현상을 검색하는 것이 권장됩니다. 적시의 공격 탐지를 강화하기 위해 SOC Prime 팀은 전용 Sigma 규칙 모음을 생성했습니다. 보안 전문가들은 SOC Prime의 Detection as Code 플랫폼에서 규칙을 다운로드할 수 있습니다:

Log4j RCE [CVE-2021-44228] 착취 탐지 패턴 (웹서버 이용)

이 탐지는 다음의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix, 및 Open Distro.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 주 전술(T1190)로 Exploit Public-Facing Application의 초기 접근 접근 방식을 다루고 있습니다.

Log4j RCE [CVE-2021-44228] 착취 탐지 패턴 (프록시 이용)

Log4j RCE [CVE-2021-44228] 착취 탐지 패턴 (키워드 이용)

조직이 계속해서 경계할 수 있도록 SOC Prime 팀은 최근 CVE-2021-44228의 잠재적 착취 시도를 감지하기 위한 최신 Sigma 기반 규칙을 제공했습니다. 이 규칙은 프록시 로그와 역방향 bash 셸 생성으로 이어지는 악성 클래스 파일 다운로드를 기반으로 한 Log4j 착취 패턴을 감지합니다:

가능한 악성 원격 Java 클래스 파일 로딩 [Log4j/CVE-2021-44228] (프록시 이용)

CVE-2021-45046 탐지 및 완화

Java 8 이상을 활용하는 모든 사용자는 최신 Log4j 2.16.0 버전으로 업데이트해야 합니다. 이는 Apache Log4j 2.15.0의 이전 완화 조치가 불완전한 것으로 나타났기 때문입니다. CVE-2021-45046을 감지하고 착취 시도의 위험을 최소화하기 위해 SOC Prime 팀은 최근 모든 사용 가능한 로그 파일에서 Log4j 착취 패턴과 로그 항목을 식별하는 전용 Sigma 기반 규칙을 출시했습니다.

Log4j [CVE-2021-45046] 착취 탐지 패턴 (키워드 이용)

무료로 SOC Prime의 Detection as Code 플랫폼에 가입하여 보안 환경에서 최신 위협을 감지하고, 로그 소스와 MITRE ATT&CK 커버리지를 개선하며, 조직의 사이버 보안 ROI를 높이세요. 보안 전문가는 또한 자신의 탐지 콘텐츠를 수익화하기 위해 Threat Bounty Program에 참여할 수 있습니다.

플랫폼으로 이동 Threat Bounty 참여