Home > 전체기사

로그4셸 취약점에 대한 1차 패치, 새로운 취약점 만들어

  |  입력 : 2021-12-16 15:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아파치재단은 2.15.0 버전을 내놓으며 로그4셸 취약점을 해결하는 것처럼 보였다. 하지만 이 패치는 새로운 취약점을 생성하는 결과를 낳았고, 이 때문에 두 번째 패치가 급하게 만들어졌다. 가장 안전한 로그4j 버전은 현 시점에서 2.16.0이다.

[보안뉴스 문가용 기자] 보안 전문가들이 지난 화요일 아파치재단(Apache Foundation)에서 발표한 로그4셸(Log4Shell) 취약점 패치를 적용하라고 촉구하기 시작했다. 이는 두 번째로 발표된 패치를 말하는 것으로, 첫 번째 픽스는 특정한 상황에서 제대로 작동하지 않는 것으로 밝혀졌다. 아파치재단 역시 지난 주에 발표된 아파치 로그4j(Apache Log4j) 2.15.0 버전이 불완전하다고 발표했다.

[이미지 = utoimage]


첫 번째 패치를 적용함으로써 발생하는 새로운 오류들에 대해서는 CVE-2021-45046이라는 취약점 관리 번호가 새롭게 붙었다. 이는 서비스 마비 공격을 가능하게 하는 것으로 분석됐다. 원래의 로그4셸은 CVE-2021-44228이며, 원격 코드 실행 공격을 가능하게 한다. 첫 번째 패치의 불완전함을 해결한 버전은 아파치 로그4j 2.16.0이다.

한편 보안 업체 프레토리안(Praetorian)은 첫 번째 업데이트 버전인 로그4j 2.15.0의 경우 서비스 마비 공격만이 아니라 데이터 유출 공격도 가능하게 한다고 주장했다. 하지만 아직 패치 적용이 보편화되지 않았기 때문에 기술적 세부 정보를 아파치재단에만 은밀히 제공했으며, 일반 대중들에게는 공개하지 않고 있다. 프레토리안의 CEO인 네이선 스포츠먼(Nathan Sportsman)은 블로그를 통해 2.16.0으로의 빠른 업그레이드를 촉구했다.

프레토리안의 또 다른 보안 전문가이자 연구원인 안토니 윔즈(Anthony Weems)도 “특정 조건이 맞아떨어질 때 DNS를 통해 환경 변수 정보들을 외부로 빼돌리는 게 가능하다”고 CVE-2021-45046 취약점에 대한 내용을 추가했다. “결국 로그4셸 취약점에 대응하려고 2.15.0 버전을 재빨리 다운로드 받은 조직들이라도 2.16.0을 반드시 설치해야 한다는 뜻”이라고 보안 업체 시만텍(Symantec)의 기술 국장인 비크람 타쿠르(Vikram Thakur)는 강조한다.

원래의 로그4셸 취약점(CVE-2021-44228)은 대단히 광범위하게 퍼져 있고(로그4j는 거의 모든 자바 애플리케이션에 존재한다고 한다) 익스플로잇이 쉬워서 “사상 최악의 취약점”이라고 언급되고 있다. 보안 업체 소나타입(Sonatype)이 분석한 바에 따르면 지난 4개월 동안 로그4j가 2860만 번 다운로드 되었다고 한다. 자바 기반 애플리케이션이 있는 곳이라면 로그4j가 있다고 볼 수 있을 정도다.

이미 고급 사이버 공격 단체들은 움직이기 시작했다. MS는 이번 주 화요일 보고서를 통해 이란, 북한, 터키, 중국의 해킹 단체들이 로그4셸을 익스플로잇하기 시작했다고 경고했다. 이란의 포스포러스(Phosphorous)와 중국의 하프늄(Hafnium)이 언급됐다. 그 외 다른 공격 단체들도 암호화폐 채굴, 원격 접근 멀웨어 설치, 랜섬웨어 페이로드 및 웹셸 설치 등의 목적을 가지고 움직이고 있었음이 드러났다.

보안 업체 패스틀리(Fastly)의 경우 “로그4셸을 겨냥한 익스플로잇 시도가 대규모 단위로 이뤄지고 있다”고 이미 수요일부터 경고하기 시작했다. 다만 “아직은 취약점을 효과적으로 익스플로잇 하는 방법을 찾아내느라 이런 저런 시도가 이뤄지는 중이지 본격적인 공격은 아직 시작되지 않았다”고 한다. 하지만 해커들의 이런 실험은 기간이 그리 길지 않고, 누군가 효과적인 방법을 찾아내면 그것을 모방한 범죄가 폭발적으로 발생한다는 건 보안 업계가 여러 차례 봐온 바다.

패스틀리의 부회장인 마이크 벤자민(Mike Benjamin)은 “방어를 하는 입장에서 자바 런타임에 제공되는 환경 변수와 같은 정보들이 언제고 도난당할 수 있다는 것을 염두에 두어야 한다”고 경고했다. 또한 “사이버 범죄자와 보안 연구자들의 트래픽이 지금 한창 섞여 있는 시기라 방어가 까다로울 수 있으니 뉴스 보도나 보안 블로그들에 올라오는 최근 소식들에 관심을 가지는 것도 도움이 될 수 있다”고 귀띔했다.

3줄 요약
1. 지난 주말 난리가 난 로그4셸 취약점, 1차 패치는 불안전.
2. 그래서 해당 취약점에 대한 2차 패치가 배포되고 있음.
3. 현재까지 가장 안전한 로그4j 버전은 2.16.0임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)