하기와 같이 Apache Log4J 2 취약점(CVE-2021-44228) 관련 카스퍼스키 대응 방안을 공지 드립니다.
1. CVE-2021-44228: Apache Log4j, 취약점 요약
KISA 보안 공지:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
위 내용에 기술된 것과 같이 이번 취약점은 지난 2021년 11월에 최초 발견된 Apache Log4j 2 모듈의 취약점에 대한 '긴급 패치 설치' 권고입니다.
외부의 공격자가 패치 안 된 Apache Log4j 2 모듈을 사용하는 서버를 '원격지에서 공격한 후 서버의 관리자 권한'을 획득할 수 있는 것입니다.
따라서 방화벽, APT 탐지 툴에서 이러한 취약점 악용 공격 패턴을 우선 차단하고 반드시 취약점을 가진 서버에 대해 패치를 설치하는 것을 권고 드립니다.
2. 카스퍼스키의 대응
당사 본사의 SOC 팀 및 위협 리서치 팀의 확인 결과, 당사는 이미 해당 취약점에 대한 내용은 파악하고 있으며 CVE-2021-44228 취약점이 공개된 이후 이러한 정보를
바탕으로 제로 데이 공격이 실제로 이뤄지고 있는지 모니터링 중입니다.
즉, 당사의 클라우드 기반의 평판 및 긴급 업데이트 기술/서비스인 KSN(Kaspersky Security Network)과 전세계 여러 센서 서버, 유관 기관과의 정보 협력
(유로폴 등의 각 국가의 CERT 조직, 국내 국가 정보 기관, Virustotal과 주요 백신 벤더사 등)을 통해 향후 발생하는 익스플로잇 툴킷과 이를 통해 2차 배포하는
악성 코드 정보를 수집하고 있습니다.
또한, 이 취약점에 대한 안내 정보를 당사 공식 블로그(https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/) 에서 확인할 수 있습니다.
3. 카스퍼스키 탐지명
이번 취약점을 악용하는 공격은 원격지에 있는 외부에서 이뤄집니다. 따라서 서버 내부의 파일을 모니터링하는 엔드포인트 백신의 경우에는 외부 네트워크 트래픽에서 이뤄지는 공격을 탐지하는 것에는 한계가 있습니다.
하지만, 서버의 로컬 HDD에 악성 코드 또는 공격 툴이 업로드되거나 실행될 경우, 이를 실시간 감시, 행동 탐지(익스플로잇 방지) 등의 기능을 사용해 차단할 수 있습니다.
현재까지 공개된 취약점 정보를 바탕으로 침해 사건이 실제 발생한 경우가 있는지는 현재 KSN과 여러 경로를 통해 수집된 데이터를 분석하고 있습니다.
(로컬 시그니처 데이터베이스는 위협 분류 정책에 따라 변경될 수 있습니다.)
CVE-2021-44228: Apache Log4j 취약점에 대한 카스퍼스키의 분석 정보입니다.
https://securelist.com/cve-2021-44228-vulnerability-in-apache-log4j-library/105210/
자주 묻는 Q&A
- Kaspersky 제품은 이번 취약점을 가지고 있나?
=> 없습니다. 카스퍼스키의 제품은 이번 취약점을 가진 아피치 로그 서버 기능을 사용하고 있지 않습니다.
- Kaspersky 제품은 이번 취약점을 악용하는 툴킷을 막을 수 있나?
=> 네 가능합니다. 자세한 진단명 등은 위 리포트를 참고해 주시기 바랍니다.
- 근본적으로 이 취약점 자체를 제거하려면 어떻게 해야 하나?
KISA 보안 공지:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
취약점을 가진 서버에 대해 패치를 설치해야 합니다.
.png)
