Log4j: 우리가 얼마나 망했습니까?

음, 확실히 사이버 사고 가 발생한 해입니다 . 인터넷의 거의 모든 것에 영향을 미치는 훌륭하고 강력한 보안 취약점으로 문제를 묶는 것은 어떻습니까? 그 말이 맞는 것 같다.

요컨대, Apache log4j 버그 는 나쁩니다 . 미국 사이버 보안 및 기반 시설 보안국(Cybersecurity and Infrastructure Security Agency)의 이사인 Jen Easterly에 따르면 그녀가 "전체 경력"에서 본 "가장 심각한 것" 중 하나입니다. 최근 언론 출연에서 Easterly 는 기자 들에게 연방 관리들이 "정교한 행위자들이 이 취약점을 널리 악용할 것"을 충분히 예상하고 있다고 말했으며 그녀의 동료인 CISA 취약점 관리 사무소의 Jay Gazlay는 이 버그가 "수백 명의 수백만 개의 장치."

추가 정보: Web3는 무엇이며 왜 관심을 가져야 합니까?

일상적인 웹 사용자는 이 전체 상황에 대해 많은 것을 할 수 없지만 무슨 일이 일어나고 있는지 아는 것이 도움이 될 수 있습니다. 다음은 모든 끔찍함에 대한 간략한 요약입니다.

영향을 받는 프로그램인 Apache의 log4j는 많은 회사에서 사용하는 무료 오픈 소스 로깅 라이브러리입니다. 로깅 라이브러리 는 프로그램 실행 방법을 기록하기 위해 엔지니어가 구현합니다. 코드 감사를 허용하고 버그 및 기타 기능 문제를 조사하기 위한 일상적인 메커니즘입니다. log4j는 무료이며 널리 신뢰할 수 있기 때문에 크고 작은 회사에서 다양한 용도로 사용하고 있습니다. 물론 아이러니하게도 이 버그 검사 도구에는 이제 버그가 있습니다.

적절한 악용으로 인해 서버 시스템에 대한 셸 액세스 ("원격 코드 액세스"라고도 함) 가 발생할 수 있으므로 보안 연구원은 취약점을 "Log4Shell" 이라고 부르기 로 했습니다. 한편, 공식 명칭은 CVE-2021-44228 이며 Common Vulnerability Scoring System 척도에서 심각도가 10으로 가장 낮은 수준입니다. 이 정보는 알리바바의 클라우드 보안 팀 구성원인 Chen Zhaojun이 처음 발견한 지 일주일도 채 되지 않은 12월 9일에 처음 공개되었습니다.

기술적으로 말하면 이 버그는 제로데이 원격 코드 실행 취약점으로, "공격자가 대상 서버에서 스크립트를 다운로드하고 실행할 수 있게 하여 원격 제어를 완료할 수 있도록 열어 둡니다"라고 Bitdefender 연구원은 최근 분석 에서 썼습니다. 취약점. 또한 악용하기가 매우 쉽습니다. 범죄자는 많은 문제를 야기하기 위해 많은 일을 할 필요가 없습니다.

log4j의 편재성으로 인해 인터넷에서 가장 큰 플랫폼의 대부분은 이 문제에 묶여 있습니다. 영향을 받는 사람과 영향을 받을 수 있는 사람을 보여주기 위해 게시된 여러  목록 이 있지만 이 시점에서 완전히 포괄적인 회계는 엉뚱한 야망처럼 보입니다. 다양한 보고서에 따르면 피해를 입은 사람들은 Apple, Twitter, Amazon, LinkedIn, CloudFlare 등과 같은 유명 인사를 포함합니다.

그들의 참여를 확실히 확인한 회사들은 많은 제품과 서비스에 패치가 필요하다고 자주 보고했습니다. 예를 들어 클라우드 컴퓨팅 회사인 VMWare 는 자사 제품 중 44개가 영향을 받았다고 보고 합니다. 네트워킹 대기업 시스코 는 자사 도구 중 35개가 취약 하다고 밝혔 습니다. 저명한 사이버 보안 회사인 Fortigard는 최근 적어도 12개의 제품이 영향을 받는다고 밝혔습니다. 목록은 계속됩니다.

아마존은 분명히 그 목록에 있는 가장 큰 회사 중 하나입니다. 기술 거물은 정기적으로 제품 및 서비스와 관련된 업데이트를 게시해 왔으며(그 중 꽤 많은 것으로 나타남) 한편, Apple은 최근 iCloud가 버그의 영향을 받았으며 이후 자체적으로 패치 되었음을 확인했습니다 . Blackberry, Dell, Huawei, Citrix와 같은 거대 기술 기업과 SonicWall, McAfee, TrendMicro, Oracle, Qlik 등과 같은 저명한 기술 기업을 포함하여 다른 회사는 여전히 자신이 망했는지 여부를 조사 하고 있습니다.

그러나 이 버그는 기술 외부에 도달하여 이러한 종류의 문제와 자연스럽게 연관되지 않는 산업을 엉망으로 만들 가능성도 있습니다. 운영 및 산업 시스템과 관련된 보안을 분석하는 Dragos는 최근 다음 과 같이 썼습니다.

나쁜 소식입니다. 좋은 뉴스? JK, 좋은 소식이 없습니다. 대신에 더 나쁜 소식이 있습니다. 이 거대한 취약점은 이미 수많은 사이버 범죄자들의 대규모 악용 시도를 목격하고 있습니다. 인터넷의 보안 연구원들은 그들이 보고 있는 활동에 대한 보고서를 게시하기 시작했지만 그다지 아름답지는 않습니다.

문제의 큰 부분은 대부분의 범죄자가 다른 모든 사람과 거의 같은 시간에 log4j 취약점을 발견한 것으로 보인다는 것입니다. 따라서 취약한 시스템 및 플랫폼에 대한 악용 시도가 지난주 이후 기하급수적으로 증가했습니다. 웹 전체의 해커가 이 끔찍한 상황을 악용하기 위해 열광적으로 노력하기 때문입니다. 사이버 보안 회사인 체크 포인트(Check Point)는 최근 버그에 대한 초기 공개 이후 익스플로잇 시도가 폭발적으로 증가하는 것을 관찰했다는 데이터를 발표 했습니다. 보고서는 다음과 같이 설명합니다.

사이버 보안 회사 Dragos의 위협 인텔리전스 부사장인 Sergio Caltagirone은 Gizmodo와의 인터뷰에서 이러한 종류의 활동이 코스에서 거의 동등하다고 말했습니다. “랜섬웨어가 결국 log4j 취약점을 이용할 가능성이 높고 예상됩니다. 특히 취약한 시스템은 서버와 같은 중요한 자산일 가능성이 높기 때문입니다.”라고 그는 이메일에서 말했습니다.

실제로 사이버 보안 회사인 Bitdefender 는 화요일 "Khonsari"로 알려진 새로운 랜섬웨어 제품군이 취약한 시스템에 대한 익스플로잇 시도를 보여주는 것으로 보이는 연구를 발표 했습니다. 연구에 따르면 Khonsari 랜섬웨어 해커는 랜섬 노트를 남기고 Microsoft 시스템을 표적으로 삼고 있습니다.

그리고 랜섬웨어가 주요 우려 사항 중 하나이지만 다른 사이버 보안 전문가들은 크립토마이닝 및 봇넷 설치에서 다음과 같은 정찰 유형 활동에 이르기 까지 다양한 공격 시도에 대해 작성했습니다. 일반 스캔 및 Cobalt-Strike 비콘 배치.

많은 경우에 이러한 공격은 빠르고 맹렬하게 다가오고 있습니다. “초당 1,000건 이상의 익스플로잇 시도가 보고되고 있습니다. 그리고 페이로드는 점점 더 무서워지고 있습니다. 랜섬 웨어 페이로드는 지난 24시간 동안 시행되기 시작했습니다 .

설상가상으로 CVE-2021-45046이라는 두 번째 취약점 이 이번 주에 발견되었습니다. LunaSec의 연구원은 이전에 패치된 시스템이 여전히 최신 버그와 충돌할 수 있으며 Apache는 이미 위험을 완화하기 위한 업데이트 를 출시했다고 말했습니다.

일반 웹 사용자인 경우 이 시점에서 실제로 할 수 있는 유일한 일은 메시지가 표시될 때 장치와 응용 프로그램을 업데이트하고 의존하는 플랫폼이 취약성을 식별하고 패치를 만들어낼 만큼 충분히 빠르기를 바라는 것입니다. 업데이트를 푸시합니다. 간단히 말해서, 모두들 잠시만요.