스팀, 애플 아이클라우드, 그리고 마인크래프트 제로데이 취약점에 노출

여러 인기 서비스, 즉 애플 아이클라우드, 스팀, 아마존, 트위터, 클라우드플레어 및 마인크래프트가 아파치 소프트웨어 재단에서 개발한 널리 사용되는 자바 로깅 시스템인 ‘log4j2’에서 발견된 ‘보편적인’ 제로데이 취약점에 노출되었습니다.

이 취약점은 루나섹의 사이버 보안 연구원들에 의해 “Log4Shell”이라고 불리며, 알리바바의 첸 자오준에게 귀속됩니다. 이 취약점은 특정 문자열을 로깅함으로써 원격 코드 실행(RCE)을 초래하여 공격자가 컴퓨터 시스템에 무제한으로 접근하고 악성 소프트웨어를 가져올 수 있게 하여 수백만 대의 장치를 완전히 위험에 빠뜨립니다.

제로데이는 12월 9일에 트윗되었으며, GitHub에 게시된 개념 증명(POC)과 함께 공개되었습니다.

연구원들에 따르면, 이 라이브러리가 얼마나 보편적인지, 취약점의 영향(서버 전체 제어) 및 이를 악용하는 것이 얼마나 쉬운지를 고려할 때, 이 취약점(CVE-2021-44228)의 영향은 “상당히 심각하다”고 합니다.

루나섹의 연구원들은 아파치 스트럿츠를 사용하는 모든 사용자도 취약할 가능성이 높다고 말하며, 2017년 에퀴팩스 침해와 같은 공격에서 유사한 취약점이 악용된 사례가 있다고 덧붙였습니다. 애플 서버의 취약점은 아이폰의 이름을 단순히 변경함으로써 유발될 수 있습니다.

이 문제는 2.0-beta-9와 2.14.1 버전 사이의 모든 버전에 영향을 미칩니다. 그러나 루나섹은 6u211, 7u201, 8u191 및 11.0.1보다 큰 자바 버전은 이 취약점의 영향을 받지 않는다고 언급했습니다.

이 취약점은 2.0-beta-9와 2.14.1 버전 사이의 모든 버전에 영향을 미칩니다. 마인크래프트 서버와 같은 많은 오픈 소스 프로젝트는 이미 ‘log4j2’ 사용에 대한 패치를 시작했습니다. 영향을 받은 조직의 광범위한 응답 목록은 여기에서 확인할 수 있습니다.

아파치 소프트웨어 재단은 제로데이 취약점을 패치하기 위해 라이브러리의 최신 버전인 2.15.0에서 긴급 보안 업데이트를 발표했으며, 즉시 업데이트할 수 없는 사용자들을 위한 완화 조치도 포함되어 있습니다.

“로그 메시지 또는 로그 메시지 매개변수를 제어할 수 있는 공격자는 메시지 조회 대체가 활성화된 경우 LDAP 서버에서 로드된 임의의 코드를 실행할 수 있습니다.”라고 아파치 재단은 권고문에서 밝혔습니다. “Log4j 2.15.0부터는 이 동작이 기본적으로 비활성화되었습니다.”

소프트웨어에서 Log4j를 사용하는 사용자들은 즉시 최신 2.15 버전으로 업그레이드할 것을 권장합니다.