본문 바로가기
Technical/Network

Apache Log4j 2(Log for java) 취약점 및 밴더 장비별 답변

by 알 수 없는 사용자 2022. 1. 7.

* 취약점 내용 요약 * 
------------------------------------------------------------------------------
" Apache 의 Log4j 2(Log for java) 에서 발생하는 취약점 "
□  Log4j 2는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□  https://logging.apache.org/log4j
<주요 내용>
□  CVE-2021-44228 Apache Log4j 2에서 발생하는 원격코드 실행 취약점
□  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
□  Log4j2 가 사용되는 경우, 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있습니다.
□  Apache 재단에서는 2021년 12월 10일 업데이트를 통해 취약점 패치가 다음과 같이 제공되었습니다.
< 취약 버전 >
□ Apache Log4j 2.0-beta9 ~ 2.14.1 모든버전
< 조치 방법 >
□ 해결방안 
o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용[3]
  ※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전 업데이트 적용 권고

o 최신버전으로 업데이트가 어려운 경우 사용중인 버전확인 후 버전별 조치 적용
 - (버전확인방법)
      1. log4j가 설치된 경로의 "pom.xml"파일을 열어 "log4j-core"로 검색
      2. 검색결과 "사용버전(version)" 확인가능
 - (조치방법) 2.0-beta9 ~ 2.10.0
     ※ JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
 - (조치방법) 2.10 ~ 2.14.1
     ※ log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정

□ 참고 :
[KISA 보안업데이트 권고] - 2021. 12. 11 업데이트
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
------------------------------------------------------------------------------

• CISCO
□ Nexus 제품군 으로 apache 취약점 내용이 해당. , N9K 장비는 제외 
□ 그 외 2000 , 3000 , 9200 , 9300 카탈 제품군은 현재 CISCO 에서도 조사중
□ 펌웨어 외 임시 조치방법은 WEBUI 기능 OFF 로 사용 
 - Nexus 제품군 관련 취약점은 임시 조치 후 펌웨어 릴리즈 형식으로 진행 예정 
 - 링크 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

• Pumpkin
□ 관계 없음
□ Pumpkin L4 Switch는 [AEN8024] WebUI 서비스에서 Apache 를 사용 하지 않고 lighttpd + FastCGI 라는 opensource를 사용 하고 있습니다.
'Apache Log4j' 취약점과 관계 없음을 전달 드립니다.

• HP

□ 관계 없음

​​
• Alteon
□ 전체 사이트 영향 없음
□ Alteon 제품과 Apache Log4J 보안취약점 관련성에 대해 제조사에 문의한 결과 해당사항 없음

• Piolink
□ PAS 관계없음 , PAS-K 일부 관계 있음 , 웹방화벽 관계없음 , 티프론트&티컨트롤러 해당 없음
 - PAS-K 전제품 : PLOS v2.2.3.7.0 이상 버전에서 WebUI 를 사용하는 경우 해당됨
 - WEBFRONT-K 전제품/AV2 : 해당 없음(관련 라이브러리 사용하지 않음)
 - TiFRONT/TiController : 해당 없음(관련 라이브러리 사용하지 않음)

<제품별 대응 방법 및 향후 일정>
 - PAS-K : WebUI 를 비활성화하여 해당 보안 취약점을 차단
   : management-access 모드에서 http/https 를 disable 합니다.
   : WebUI 의 사용이 필요한 경우, system-access rule / access-ip 를 이용하여 허용된 관리자만 접속할 수 있도록 접속 차단 설정으로 대응한다.
   : 향후 취약점이 수정된 PLOS 를 릴리스 예정입니다.
 - TiFRONT/TiController : 향후 대응 일정 없음
 - WEBFRONT-K : 해당 취약점 관련 차단 시그니처를 릴리스 예정입니다.

• Axgate 
□ 관계 없음 

- 제조사 답변

  - 본 취약점은 자바 log4j 라이브러리 관련 취약점으로 자사 UTM 제품의 경우 자바를 사용하지 않기 때문에 본 취약점과는 연관이 없습니다. 
 또한, 자바를 사용하는 TMS 의 경우 해당 라이브러리를 사용하지 않으므로, 자사 제품 전체 라인업이 본 취약점에 영향이 없음을 공지 드립니다.

본 취약점에 대한 IPS 패턴은 빠른 시일 내에 IPS 패턴에 추가될 수 있는지 여부를 검토 후 릴리즈 하도록 하겠습니다.

• Ahnlab
□ 관계 없음 , TSM & TA 제품은 관계 있음 버전 확인 필요.
 - Log4J 안랩장비 영향도 확인결과 이상 없음 ( 기본 FW ,IPS , DDOS 등) 
 - TSM, TA는 별도 버전 확인이 필요 ( 제조사 추가 확인 필요 )

• Secui
□ 관계 없음
  - 어플라이언스 제품 (BLUEMAX NGF, BLUEMAX TAMS, MF2, MFI, MFD ) : 취약점 영향 없음
  - 통합 관리 제품 ( SECUI IMS, SECUI TMS GE, SECUI Portal ) : 취약점 영향 없음

• Fortinet
□ 기본 Forti 방화벽 OS에서는 관계 없음
The following products are NOT impacted:
< 다음 제품은 영향을 받지 않습니다 .>
FortiOS (includes FortiGate & FortiWiFi)
FortiAnalyzer
FortiManager
FortiAP
FortiAuthenticator
FortiDeceptor
FortiMail
FortiVoice
FortiRecorder
FortiSwitch & FortiSwitchManager
FortiAnalyzer Cloud
FortiManager Cloud
FortiGate Cloud
FortiWeb Cloud
FortiGSLB Cloud
FortiToken Cloud
FortiPhish Cloud
FortiSwicth Cloud in FortiLANCloud
FortiEDR Agent

The following products are impacted and fixes are being worked on.  This advisory will be updated as soon as ETAa are available:
< 다음 제품이 영향을 받고 수정 작업이 진행 중입니다. 이 권고는 ETAa가 제공되는 즉시 업데이트됩니다. >
FortiSIEM
FortiCASB
FortiPortal
FortiNAC
FortiConvertor
FortiAIOps
FortiNAC
FortiPolicy
ShieldX
FortiSOAR
FortiEDR Cloud
 - 포티 참조 문서 : https://www.fortiguard.com/psirt/FG-IR-21-245

 

 

내용 참고 바랍니다.~

 

 

댓글