Apache Log4j 2(Log for java) 취약점 및 밴더 장비별 답변

* 취약점 내용 요약 * 
------------------------------------------------------------------------------
" Apache 의 Log4j 2(Log for java) 에서 발생하는 취약점 "
□  Log4j 2는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티
□  https://logging.apache.org/log4j
<주요 내용>
□  CVE-2021-44228 Apache Log4j 2에서 발생하는 원격코드 실행 취약점
□  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
□  Log4j2 가 사용되는 경우, 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있습니다.
□  Apache 재단에서는 2021년 12월 10일 업데이트를 통해 취약점 패치가 다음과 같이 제공되었습니다.
< 취약 버전 >
□ Apache Log4j 2.0-beta9 ~ 2.14.1 모든버전
< 조치 방법 >
□ 해결방안 
o 제조사 홈페이지를 통해 최신버전(2.15.0)으로 업데이트 적용[3]
  ※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전 업데이트 적용 권고
​
o 최신버전으로 업데이트가 어려운 경우 사용중인 버전확인 후 버전별 조치 적용
 - (버전확인방법)
      1. log4j가 설치된 경로의 "ｐｏｍ.ｘｍｌ"파일을 열어 "log4j-core"로 검색
      2. 검색결과 "사용버전(version)" 확인가능
 - (조치방법) 2.0-beta9 ~ 2.10.0
     ※ JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
 - (조치방법) 2.10 ~ 2.14.1
     ※ log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정
​
□ 참고 :
[KISA 보안업데이트 권고] - 2021. 12. 11 업데이트
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
------------------------------------------------------------------------------

• CISCO
□ Nexus 제품군 으로 apache 취약점 내용이 해당. , N9K 장비는 제외 
□ 그 외 2000 , 3000 , 9200 , 9300 카탈 제품군은 현재 CISCO 에서도 조사중
□ 펌웨어 외 임시 조치방법은 WEBUI 기능 OFF 로 사용 
 - Nexus 제품군 관련 취약점은 임시 조치 후 펌웨어 릴리즈 형식으로 진행 예정 
 - 링크 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
​
• Pumpkin
□ 관계 없음
□ Pumpkin L4 Switch는 [AEN8024] WebUI 서비스에서 Apache 를 사용 하지 않고 lighttpd + FastCGI 라는 opensource를 사용 하고 있습니다.
'Apache Log4j' 취약점과 관계 없음을 전달 드립니다.

• HP

□ 관계 없음

​​
• Alteon
□ 전체 사이트 영향 없음
□ Alteon 제품과 Apache Log4J 보안취약점 관련성에 대해 제조사에 문의한 결과 해당사항 없음

• Piolink
□ PAS 관계없음 , PAS-K 일부 관계 있음 , 웹방화벽 관계없음 , 티프론트&티컨트롤러 해당 없음
 - PAS-K 전제품 : PLOS v2.2.3.7.0 이상 버전에서 WebUI 를 사용하는 경우 해당됨
 - WEBFRONT-K 전제품/AV2 : 해당 없음(관련 라이브러리 사용하지 않음)
 - TiFRONT/TiController : 해당 없음(관련 라이브러리 사용하지 않음)
​
<제품별 대응 방법 및 향후 일정>
 - PAS-K : WebUI 를 비활성화하여 해당 보안 취약점을 차단
   : management-access 모드에서 http/https 를 disable 합니다.
   : WebUI 의 사용이 필요한 경우, system-access rule / access-ip 를 이용하여 허용된 관리자만 접속할 수 있도록 접속 차단 설정으로 대응한다.
   : 향후 취약점이 수정된 PLOS 를 릴리스 예정입니다.
 - TiFRONT/TiController : 향후 대응 일정 없음
 - WEBFRONT-K : 해당 취약점 관련 차단 시그니처를 릴리스 예정입니다.
​
• Axgate 
□ 관계 없음 

- 제조사 답변

  - 본 취약점은 자바 log4j 라이브러리 관련 취약점으로 자사 UTM 제품의 경우 자바를 사용하지 않기 때문에 본 취약점과는 연관이 없습니다. 
 또한, 자바를 사용하는 TMS 의 경우 해당 라이브러리를 사용하지 않으므로, 자사 제품 전체 라인업이 본 취약점에 영향이 없음을 공지 드립니다.

본 취약점에 대한 IPS 패턴은 빠른 시일 내에 IPS 패턴에 추가될 수 있는지 여부를 검토 후 릴리즈 하도록 하겠습니다.

​• Ahnlab
□ 관계 없음 , TSM & TA 제품은 관계 있음 버전 확인 필요.
 - Log4J 안랩장비 영향도 확인결과 이상 없음 ( 기본 FW ,IPS , DDOS 등) 
 - TSM, TA는 별도 버전 확인이 필요 ( 제조사 추가 확인 필요 )
​
• Secui
□ 관계 없음
  - 어플라이언스 제품 (BLUEMAX NGF, BLUEMAX TAMS, MF2, MFI, MFD ) : 취약점 영향 없음
  - 통합 관리 제품 ( SECUI IMS, SECUI TMS GE, SECUI Portal ) : 취약점 영향 없음
​
• Fortinet
□ 기본 Forti 방화벽 OS에서는 관계 없음
The following products are NOT impacted:
< 다음 제품은 영향을 받지 않습니다 .>
FortiOS (includes FortiGate & FortiWiFi)
FortiAnalyzer
FortiManager
FortiAP
FortiAuthenticator
FortiDeceptor
FortiMail
FortiVoice
FortiRecorder
FortiSwitch & FortiSwitchManager
FortiAnalyzer Cloud
FortiManager Cloud
FortiGate Cloud
FortiWeb Cloud
FortiGSLB Cloud
FortiToken Cloud
FortiPhish Cloud
FortiSwicth Cloud in FortiLANCloud
FortiEDR Agent
​
The following products are impacted and fixes are being worked on.  This advisory will be updated as soon as ETAa are available:
< 다음 제품이 영향을 받고 수정 작업이 진행 중입니다. 이 권고는 ETAa가 제공되는 즉시 업데이트됩니다. >
FortiSIEM
FortiCASB
FortiPortal
FortiNAC
FortiConvertor
FortiAIOps
FortiNAC
FortiPolicy
ShieldX
FortiSOAR
FortiEDR Cloud
 - 포티 참조 문서 : https://www.fortiguard.com/psirt/FG-IR-21-245

 

 

내용 참고 바랍니다.~