미국 웹 인프라 및 웹사이트 보안 회사 클라우드 플레어(Cloudflare)는 사이버 공격자가 Log4j 라이브러리에 공개된 CVE-2021-45046으로 추정되는 두 번째 취약점을 악용하고 있다고 경고했다.
CVE-2021-45046은 CVSS(Common Vulnerability Scoring System, 공통 취약점 등급 시스템) 점수 3.7을 받았고 Log4j 버전 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0에 영향을 준다.
ASF(Apache Software Foundation)는 이미 Log4Shell 취약점(CVE-2021-44228)에 대한 패치를 출시했으나 해당 패치는 특정 구성의 결함만 부분적으로 해결해준다.
로깅 구성이 컨텍스트 조회(예: $${ctx:loginId}) 또는 스레드 컨텍스트 맵 패턴(%X , %mdc 또는 %MDC)일 경우 DOS(서비스 거부) 조건을 만족하는 JNDI(자바 API) 조회 패턴을 사용하면 악의적 입력 데이터를 만들 수 있다. 이러한 두 문제는 메시지 조회 패턴 지원을 제거하고 JNDI 기능을 비활성화하여 CVE-2021-45046을 해결하는 Log4j 2.16.0 버전에서 해결되었다.
클라우드 플레어는 CVE-2021-44228에 이어 두 번째 Log4j CVE가 CVE-2021-45046으로 보고되었고, CVE-2021-44228에 대한 규칙은 새로운 CVE에 대해 동일한 수준의 보호 기능을 제공한다고 밝혔다. 또한 해당 취약점이 악용되고 있으며 Log4j를 사용하는 사용자는 이전에 2.15.0으로 업데이트했더라도 최대한 빨리 버전 2.16.0으로 업데이트해야 한다고 경고했다.
아울러 보안 기업 프레토리안(Praetorian)의 연구원들은 초기 Log4Shell을 수정하기 위해 출시된 Log4j 버전 2.15.0의 세 번째 보안 취약점에 대해 경고했다. 이 세 번째 취약점은 공격자가 특정 상황에서 민감한 데이터를 추출하는 데 악용될 수 있다.
프레토리안은 “이번 연구에서 2.15.0이 여전히 특정 상황에서 민감한 데이터의 유출을 허용할 수 있다는 것이 확인되었다. 해당 문제에 대한 기술적인 세부 사항을 ASF에 전달했으나, 사용자들은 최대한 빨리 2.16.0으로 업그레이드할 것을 권장한다”고 말했다.
마이크로소프트 연구원에 따르면 중국, 이란, 북한 및 터키에 관련된 행위자들이 현재 해당 취약점을 남용하고 있어서 전 세계 기반 시설은 계속 공격을 받는 중이다. 취약점을 악용하는 그룹 중 중국과 연결된 하프늄(Hafnium)은 가상화 인프라 공격에, 이란과 연결된 포스포러스(Phosphorus)는 랜섬웨어를 배포하는 데 사용하고 있다.
마이크로소프트 전문가들은 다수의 액세스 브로커가 Log4Shell 취약점을 사용하여 대상 네트워크에 대한 초기 액세스 권한을 얻은 다음 서비스로서의 랜섬웨어(ransomware-as-a-service) 계열사에 판매하기 시작했다고 밝혔다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
