ASF(Apache Software Foundation)가 서비스 거부 공격으로 악의적인 행위자가 악용할 수 있는
Log4j 로깅 라이브러리의 세 번째 취약점에 대한 패치(버전 2.17.0)를 출시했다.
CVE-2021-45105(CVSS 점수: 7.5)로 추적되는 이 새로운 취약점은 2.0-beta9에서 2.16.0까지의
모든 버전의 Log4j에 영향을 미친다. 이 취약점은 ‘Log4Shell’ 취약점이라고 하는 CVE-2021-44228에 대한
첫 번째 패치가 불완전해 발생한 CVE-2021-45046 취약점에 대한 패치에서 다시 발견된 세 번째 취약점이다.
ASF는 개정된 권고문에서 "Apache Log4j2 버전 2.0-alpha1부터 2.16.0까지 자체 참조 조회(lookup)에서
제어되지 않는 재귀로부터 보호하지 못했다"라고 설명했다. "로깅 구성이 컨텍스트 조회와 함께 기본이 아닌
패턴 레이아웃을 사용하는 경우 스레드 컨텍스트 맵(MDC) 입력 데이터를 제어할 수 있는 공격자는
재귀를 포함하는 악성 입력 데이터를 만들 수 있고
결과적으로 프로세스를 종료하는 StackOverflowError가 발생할 수 있다."
해외 더해커뉴스 보도에 따르면, 아카마이 테크놀로지스 히데키 오카모토와 익명의 취약점 연구원이
이 결함을 보고한 것으로 알려져 있고, Log4j 버전 1.x는 CVE-2021-45105의 영향을 받지 않는다고 전했다.
원래 DoS 버그로 분류된 두번째 취약점 CVE-2021-45046의 심각도 점수가 공격자가 이 취약성을 악용하여
특수하게 조작된 문자열을 보낼 수 있다는 사실을 발견되어 3.7에서 9.0으로 수정되었다.
"일부 환경에서 정보 유출 및 원격 코드 실행이, 모든 환경에서 로컬 코드 실행이 발생한다는 점을
지적할 필요가 있다" 라고 프라이토리안 보안 연구원들은 설명했다.
또한 아파치 측은 Log4j 버전 1.x가 수명이 다 되어 더 이상 지원되지 않으며 2015년 8월 이후에는
해당 버전에서 발견된 보안 결함은 수정되지 않을 것이라고 언급하였다.
이번 개발은 미국 사이버보안인프라보안국(CISA)이 취약점이 '용납할 수 없는 위험'을 내포하고 있다는
이유로 2021년 12월 23일까지 연방 민간 부처 및 기관에 Apache Log4j 취약점에 대한
인터넷 대면 시스템을 즉시 패치하도록 하는 비상 지침을 발표하면서 나온 것이다.
이러한 개발은 Log4j 결함이 좋은 공격 벡터로 부상하면서 중국, 이란, 북한, 터키와 같은 국가의 지원을 받는
해커들과 Conti 랜섬웨어 갱단 등 다수의 위협 행위자들이 일련의 후속 악성 활동을 수행하기 위한
중심점으로 부상하면서 이루어졌다.
이 취약점이 정교한 범죄웨어 카르텔의 레이더 아래 들어온 것은 이번이 처음이다.
애드인텔 연구원은 "현재 악용은 콘티 그룹이 Log4j 2 악용 가능성을
테스트한 여러 사용 사례로 이어졌다."라고 말했다.
이어 "범죄자들은 손상된 네트워크에서 직접 측면 이동을 위해 특정 취약한 Log4j 2 VMware vCenter[서버]를
표적으로 삼았고, 그 결과 vCenter 액세스가 기존 Cobalt Strike 세션에서
미국 및 유럽 피해자 네트워크에 영향을 미쳤다."고 전했다.
버그를 활용하는 활동에는 암호화폐 채굴기, 봇넷, 원격 액세스 트로이 목마, 초기 액세스 브로커 및 Khonsari라는
새로운 랜섬웨어 변형이 있다. 이스라엘 보안 회사 체크포인트는 지금까지
370만 건 이상의 악용 시도가 확인됐으며 이 중 46%가 알려진 악성 그룹에 의해 이루어졌다고 밝혔다.