오늘 Log4j를 완화하고 미래의 악용을 막는 방법

Log4j 취약점은 무엇입니까?

지난 몇 주는 IT 업계의 많은 사람들에게 힘든 시간이었습니다. 12월 9 ^일 , Apache 소프트웨어 재단에서 Java 애플리케이션에 사용하는 널리 쓰이는 로깅 라이브러리인 Log4j에서 심각한 제로데이 취약점이 발견되어 발표되었습니다. 수십만 개의 웹사이트와 애플리케이션이 이 소프트웨어를 사용하여 개발자가 웹사이트를 디버깅하고 애플리케이션과 웹페이지의 다른 추세를 추적할 수 있도록 로깅을 수행합니다. 추정되었습니다 Log4j 프레임워크는 수십만 개의 오픈소스 소프트웨어 프로젝트에서 사용됩니다. 개발자들은 기존 취약점이 있을 수 있는 기본 코드를 검사하지 않고 이러한 오픈소스 도구를 사용하여 소프트웨어를 만드는 경우가 많습니다.

Log4j 취약성과 공격자가 실행할 수 있는 악용 유형을 간략히 요약하면 다음과 같습니다.

Log4j는 비즈니스 중단의 가능성이 높습니다.

Log4j가 널리 퍼져 있기 때문에 최초의 CVE-2021-44228 (별명 Log4Shell)은 심각한 취약점으로 결정되었습니다. 이 취약점의 심각성과 패치 자체에 취약점이 포함되어 있어 패치가 필요하다는 사실은 IT 전문가들이 이 취약점으로 인한 결과를 한동안 처리해야 할 수도 있음을 의미합니다. IT 담당자는 Log4j의 중첩 참조를 확인해야 합니다. 즉, 소프트웨어에서 사용 중인 라이브러리가 Log4j 라이브러리를 참조하는지 확인해야 합니다. 이는 Log4Shell이 연쇄 효과를 초래할 수 있음을 의미합니다. Log4j 취약점과 Log4Shell이 조직에 미치는 영향의 전체 범위를 파악하는 것은 어려울 수 있습니다. 무료 위협 평가를 받으세요 귀하의 조직이 위험에 처해 있다고 생각된다면

아직 패치하지 않았다면, Log4j를 완화하기 위해 모든 조직이 해야 할 첫 번째 일은 패치입니다! Log4j를 실행하는 패치 서버입니다. Log4j를 실행하는 라이브러리를 사용하여 소프트웨어 패치를 실행합니다. 패치하고 계속 패치하세요!

귀하의 조직에서 이러한 취약점을 발견하고 패치하는 필수적이고 포괄적인 프로세스를 계속 진행하는 동안 Log4Shell 익스플로잇을 사용한 공격으로부터 자신을 보호하고 공격자가 이미 환경에 침투한 경우 피해가 더 확산되는 것을 방지하는 것이 중요합니다. 또한 1월 4 ^일 미국 연방거래위원회는 Apache의 Log4J 취약점을 해결하지 못하는 조직은 Log4j의 중요성을 강조하며 법적 조치를 취할 수 있다는 공지를 발표했습니다.

완벽하게 패치를 적용했더라도 Log4j가 이런 종류의 취약점 중 최초가 아니며 마지막도 아닐 것이라는 점을 기억하는 것이 중요합니다. 그렇기 때문에 공격자가 시스템의 취약점을 악용할 경우 네트워크를 보호할 계획을 세우는 동시에 현재 및 미래의 취약점으로부터 사전에 자신을 보호하는 것이 필수적입니다. 다행히도 완화 전략은 상대적으로 쉽게 구현할 수 있습니다.

Log4j와 같은 취약성을 완화하려면 다음 사항을 확인하세요.

1. WAF를 구현하여 Log4Shell 및 이와 유사한 다른 취약점을 이용한 공격으로부터 조직을 사전에 보호하세요.
2. 조직이 공격을 받을 경우 네트워크 내에서 심각한 피해가 발생하기 전에 공격을 중단할 수 있도록 보안 조치를 취하십시오.
3. 취약성의 영향 범위를 전체적으로 파악하기 위해 감사를 수행합니다.
4. 감사를 사용하여 취약성을 사용하거나 참조하는 모든 코드에 패치를 적용하고 패치되지 않은 노출이 없도록 합니다.

알려진 공격 벡터를 차단하는 서명을 사용하여 Log4j 취약성 완화

이 문제를 해결하지 않으면 사이버 적대 세력은 수천 개의 웹사이트와 온라인 앱을 빠르게 장악하여 민감한 데이터를 훔칠 수 있습니다. 가장 효과적인 솔루션은 최신 버전의 Log4j로 앱 코드를 패치하고 웹 애플리케이션 방화벽(WAF)으로 악성 요청을 차단하는 것입니다.

취약한 서버와 소프트웨어 스택에 Log4j 취약성에 대한 필요한 패치를 설치하는 동안 조직을 Log4Shell 공격으로부터 보호해야 할 수도 있습니다. 여기서 WAF도 도움이 될 수 있습니다.

F5 WAF 솔루션은 F5의 일관되고 강력한 WAF 엔진을 기반으로 구축되었으며 배포 및 소비 모델로 제공되어 보안 요구 사항을 가장 잘 충족할 수 있으며 인프라에서 Apache Log4j 원격 코드 실행(RCE) 취약성의 영향을 완화하는 데 도움이 됩니다. F5는 강력한 WAF 엔진을 통해 애플리케이션을 보호하기 위한 4가지 옵션을 제공합니다.

1. F5 고급 WAF
2. NGINX 앱 보호 WAF
3. 실버라인 WAF
4. 볼테라 WAF

F5는 Log4j 취약점에 대한 알려진 공격 벡터를 차단하는 일련의 시그니처를 출시했습니다. F5 Advanced WAF 와 NGINX App Protect WAF는 모두 Java Naming and Directory Interface(JNDI) 주입 및 일반 JNDI 주입 시그니처에 특화된 시그니처를 사용하여 악용 시도를 차단할 수 있습니다. 이러한 서명은 위협에 대한 지속적인 조사와 Log4Shell 공격을 효과적으로 감지하기 위한 새로운 규칙을 적용한 알려진 WAF 우회를 기반으로 업데이트되고 있는 서버 측 코드 주입 서명 세트의 일부입니다. 이런 방식으로 F5 WAF는 "가상 패치"를 가능하게 합니다. 여기를 방문하세요 BIG-IP 및 NGINX 애플리케이션 보안 제품에 대한 완화 지원을 제공합니다.

F5 Advanced WAF는 OWASP Top 10을 방어하는 것보다 훨씬 더 고급 보호 기능을 제공하며, 기존 앱에 대한 자체 관리 및 세부적인 제어를 원하는 보안 중심 조직에 적합합니다. 귀하가 이미 F5 BIG-IP 고객이라면 네트워크에 업계에서 가장 강력한 WAF인 F5 WAF 엔진이 이미 구축되어 있습니다. 특히 F5 BEST 라이선스를 보유한 경우 BIG-IP에서 고급 WAF 라이선스를 사용하면 새로운 위협과 진행 중인 위협에 대한 완화를 자동화하고, 보안 효율성을 높여 더 나은 보호를 제공하고, 기계 학습 및 행동 분석을 활용하여 터치 없이 앱을 보호할 수 있습니다. 

Agile DevOps 팀을 위해 구축되고 최신 인프라나 Kubernetes 환경을 보호하도록 설계된 자체 관리형 WAF 솔루션인 NGINX App Protect WAF가 귀하의 요구 사항을 가장 잘 충족시켜 드릴 것입니다. NGINX App Protect WAF에 대한 자세한 내용은 NGINX를 사용한 log4j 취약점 완화 블로그를 참조하세요.

Advanced WAF 또는 NGINX App Protect WAF와 동일한 보호 기능을 누리고 싶지만, 즉시 악용을 완화하는 데 도움이 되는 핸즈오프 접근 방식이 필요하거나 선호하는 경우, F5의 클라우드 기반 Silverline WAF 와 같은 관리형 서비스가 적합할 수 있습니다. Silverline WAF는 F5의 최고 수준의 완전 관리형 WAF 서비스로, F5 SOC의 보안 전문가가 지원하는 하이브리드 또는 멀티 클라우드 환경에서 애플리케이션을 보호하는 포괄적인 솔루션을 제공합니다. F5 Silverline SOC 팀은 필요한 완화책을 구현하고 위협을 지속적으로 모니터링하며 Log4j와 같은 취약성으로부터 필요한 완화책과 보호책을 적용했습니다.

Volterra WAF 플랫폼도 Log4j 취약점과 관련된 노출을 더욱 완화하기 위해 업데이트된 시그니처를 받았습니다. 이러한 서명은 이제 기본 WAF 정책에 포함되었으며, Volterra WAF 고객이 Log4Shell 공격을 완화하기 위해 추가 조치를 취할 필요는 없습니다. Volterra WAF는 SaaS 기반으로 배포되는 클라우드 기반 WAF를 찾는 사용자에게 가장 적합한 옵션입니다.

F5 WAF 제품과 서비스(F5 Advanced WAF, NGINX App Protect WAF, F5 Silverline WAF, Volterra WAF)는 필요한 곳 어디에서나 함께 사용하고 배포하여 애플리케이션을 가장 잘 처리하고 보호하며 애플리케이션 계층 위협으로부터 방어할 수 있습니다.

게다가 개별 공격으로는 고급 공격 캠페인을 감지하기 어렵습니다. F5 위협 캠페인F5 Advanced WAF 및/또는 NGINX App Protect WAF와 함께 사용할 수 있는 이 솔루션은 현재 진행 중인 공격 캠페인을 정확하게 탐지하고 사전에 차단하여 정교한 공격으로부터 앱과 IT 인프라를 보호합니다. F5 WAF 자체가 필수적인 보안 제어 지점 역할을 하는 반면, 위협 인텔리전스를 통해 단일 공격 사고를 보다 광범위하고 정교한 캠페인과 연관시킬 수 있으므로 기본 WAF 보안 정책을 회피할 수 있는 표적형 공격을 방어할 수 있습니다. 위협 캠페인을 고급 WAF 및 NGINX App Protect WAF 배포에 쉽게 추가하여 보안을 자동화하고 위협을 탐지하고 차단할 수 있습니다.

침해 발생 시 Log4Shell 공격에 대한 방어책을 수립합니다.

Log4j를 사용하는 라이브러리의 수를 고려하면 해당 취약점이 조직에 미치는 영향의 전체 범위를 바로 파악하는 것은 어려울 수 있습니다. 이 기간 동안 불행히도 착취의 위험에 노출될 수 있습니다.

예를 들어, 공격자는 악성 엔드포인트에 대한 요청을 작성하여 맬웨어를 수집하고 배포할 수 있습니다. 또는 공격자가 서버에 요청을 만들면 손상된 서버가 해커의 명령을 실행하게 되는데, 이러한 명령은 정상적인 작동과 상충되며 조직을 손상시킬 수 있습니다.

공격자가 이미 노출을 악용한 경우에도 아직 선택의 여지가 없는 것은 아닙니다. 다행히도 공격자가 Log4Shell을 악용하는 원격 코드를 실행하면 아웃바운드 서버 트래픽을 검사하여 네트워크 내에서 악용이 확산되는 것을 막을 수 있습니다.

암호화된 트래픽 패킷을 해독하고 검사할 수 있는 솔루션이 네트워크 가장자리에 있다고 가정해 보겠습니다. 이 경우 Log4j 취약점으로 인해 전파되는 맬웨어나 악성 트래픽을 잡아서 추가 피해가 발생하기 전에 차단할 수 있습니다. 예를 들어 명령 및 제어 서버에 접속해 추가 공격을 실행하거나 데이터를 빼내는 것이 있습니다. 서버는 일반적으로 인터넷에 연결되므로 서버 트래픽은 TLS를 통해 사용자 환경을 통과하게 됩니다. 따라서 암호화된 서버 트래픽을 검사하는 것은 이미 손상되고 취약한 환경의 확산을 억제하고 막는 데 중요합니다.

F5 SSL Orchestrator 와 같은 제품을 사용하면 암호화된 트래픽에 대한 가시성을 확보하고 복호화된 아웃바운드 분석을 수행하여 암호화된 위협을 차단할 수 있습니다. SSL Orchestrator는 네트워크를 통과하는 트래픽, 심지어 서버 트래픽도 해독하고 트래픽을 제3자 검사 서비스(예: NGFW, WAF, SWG, IPS 또는 DLP)로 전송합니다. 이 검사 서비스는 트래픽을 허용, 차단 또는 우회하여 암호화된 맬웨어가 네트워크로 유입되는 도중에 확산되지 않도록 보장하고 C로 향하는 악성 트래픽도 차단합니다.² (명령 및 제어) 서버나 유출된 데이터는 사용자 환경 밖으로 유출될 수 있습니다. SSL Orchestrator는 SSL/TLS 인프라를 개선하고, 보안 솔루션에 SSL/TLS 암호화 트래픽에 대한 가시성을 제공하고, 기존 보안 투자를 최적화하고 극대화하여 네트워크를 연쇄 공격으로부터 보호하도록 설계 및 구축되었습니다.

결론

Log4j는 심각하면서도 광범위한 최초의 취약점이 아니며 마지막도 아닐 것입니다. 이 글을 쓰는 시점에도 여전히 진행 중인 Log4j 악용으로부터 자신을 보호하는 것이 중요한 만큼, 불가피하게 다가올 다음의 심각한 취약점으로부터 자산을 보호하기 위해 애플리케이션과 네트워크 보안을 강화하는 것도 마찬가지로 중요합니다.

다음에 심각한 취약점이 발생할 경우 대비하려면 다음 4가지 단계를 따라야 합니다. 취약점이 발표되기 전에 WAF를 사용하여 Log4Shell과 같은 알려진 공격 벡터로부터 앱을 보호하는 것이 가장 좋습니다. 또한, 취약점이 발표되기 전에 네트워크를 보호하는 솔루션을 갖추는 것이 가장 좋습니다. 이렇게 하면 패치 과정에서 공격을 받아 공격자가 네트워크에 침투하더라도 해커가 악용하여 서버를 제어하거나 데이터를 빼돌리는 것을 방지할 수 있습니다. 취약점이 공개된 후 다음 조치는 노출 정도를 확인하는 것입니다. (F5의 무료 위협 평가가 도움이 될 수 있습니다!) 이제 패치, 패치, 패치! 이러한 네 가지 전략을 구축해 놓으면 다음에 발생할 취약점에 대비할 수 있습니다.

F5는 공격자가 취약점을 악용하는 것을 방지하고, 성공적으로 악용한 후에도 환경이 추가 손상이나 침해로부터 보호되는 포괄적인 완화 계획을 수립하는 데 도움을 드릴 수 있습니다.

Log4j 취약성이나 이와 유사한 취약성을 완화하는 데 대한 추가 질문이 있으시면 F5 영업팀에 문의하시거나 sales@f5.com 으로 연락해 주시기 바랍니다. F5가 Log4j에 어떻게 대응하는지 최신 정보를 받으려면 새로운 정보가 있을 때마다 업데이트되는 당사 블로그를 팔로우하세요.

현재 공격을 받고 긴급 지원이 필요한 경우 (866) 329-4253 또는 +1 (206) 272-7969로 보안 운영 센터(SOC)에 전화하십시오. 국제 전화 번호는 https://www.f5.com/attack 에서 확인하세요. 기존 BIG-IP 고객은 보안 사고 대응팀에 문의하실 수 있습니다.