“'log4j'를 최신 버전으로 업데이트하고 2.10.0 이상의 버전에서는 formatMsgNoLookups 속성을 True로 설정해야 한다”
S2W는 16일 'Logs of Log4shell'(CVE-202144228) 분석 보고서를 발표하고, Log4j 대응 방안을 소개했다.
S2W는 log4 취약점을 활용한 Mirai, Kinsing, Muhstik 악성코드 유포 사례가 보고 되고 있으며, 이 외에도 단순 공격 시도가 지속적으로 발생하고 있다고 상황을 전했다. 다크웹 상에서도 log4j 취약점 관련 게시글이 등장, 확산하고 있다고 밝혔다.
대응방안으로 △log4j' 최신 버전으로 업데이트 △2.10.0 이상 버전에서 'formatMsgNoLookups' 속성을 True 설정 △2.10.0 미만 버전은 로그 문자열 패턴 변경 또는 'JndiLookup' 클래스를 경로에서 제거 등을 제시했다.
S2W는 Log4j을 비롯한 전반적 보안 취약점 대응을 위해 사내 오픈소스 사용 현황을 파악해야 한다고 지적했다. 오픈소스 관련 취약점을 자동으로 알려줄 시스템이 필요하다고 제언했다. 보안 위협으로 인해 전체 시스템에 대한 동시다발적 조치가 어려울 경우, 우선순위에 따른 순차적 조치가 필요하며 이를 위해서는 대고객용 시스템, 외부에서 접속 가능한 직원용 업무 사이트 등 내부 자산에 대한 용도별 분류와 사용 중인 서비스에 대한 파악이 선행돼야 한다고 조언했다. 또한 평소에 국내외 컨퍼런스 및 보안 벤더들의 취약점, 악성코드 관련된 보고서와 인텔리전스를 주기적으로 확인하고 내재화할 것을 주문했다.
이와함께 △Tomcat △Minecraft △Redis △Apache Struts △Apache Solr △Apache Druid △Apache Flink △Apache Dubbo △ElasticSearch △Flume △Logstash △Kafka △Spring-Boot-starter-log4j2 등을 포함해 150여개 이상 서비스가 CVE-2021-44228 취약점에 영향을 받는 서비스라며 각별한 주의가 필요하다고 강조했다.
곽경주 S2W 이사는 “우리 CTI 그룹 분석에 따르면 Log4j 취약점을 이용한 크립토마이너, 봇넷, 랜섬웨어 등의 악성코드 유포가 활발히 이뤄지고 있고, 현재 패치 되지 않은 시스템을 대상으로 한 무차별적인 공격은 이미 시작된 상태”라며 “CVE-2021-44228은 아파치 서버뿐만 아니라, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향을 미친다”라고 설명했다.
이대진 S2W 오펜시브 리서쳐 연구원은 “log4j의 구버전(1.x)을 사용하면 안전하다는 일부 얘기는 잘못된 사실이며 1.2 버전에서도 이번 log4shell 과 유사한 형태의 취약점이 발견되어 조치해야 한다는 공식 발표가 있었다”면서 “log4j 1.x 버전은 지원이 종료된 버전으로 다수의 취약점이 발견되더라도 더 이상 패치가 나오지 않을 예정이므로 가장 최신 버전으로 업데이트 할 것을 권장한다”고 강조했다.
최호기자 snoop@etnews.com
