블로그

Apache Log4j2 취약점(CVE-2021-44228)에 대한 보호

F5 썸네일
F5
2021년 12월 14일 게시

참고 사항: 이 블로그를 처음 게시한 이후, F5는 후속 CVE(CVE-2021-45046, CVE-2021-4104, CVE-2021-45105)를 검토하고 아래에 설명된 보호 메커니즘이 이러한 취약점에도 효과적이라는 것을 확인했습니다.

12월 9일에 발견된 이후, 전 세계 보안 팀은 Apache Log4j2 보안 취약점(CVE-2021-44228)으로 인한 위협을 이해하고, 노출된 부분을 식별하고, 완화책을 마련하기 위해 밤낮으로 노력해 왔습니다. 많이 가지다 계속 ~ 이다 취약성에 대해 쓰여진 내용으로, Log4Shell이라고도 불리지만 간단히 말해 원격 코드 실행 취약성으로, 공격자가 취약한 애플리케이션에 특정 데이터를 보내어 대상 애플리케이션이 손상되는 일련의 동작을 트리거할 수 있다는 의미입니다. 공격자는 다양한 방법으로 이를 악용할 수 있는데, 예를 들어 암호화폐 채굴기를 설치하거나 애플리케이션에서 민감한 데이터를 추출할 수 있습니다.

취약점, 악용, 완화 및 수정은 항상 파괴적이며, F5의 사명은 고객에게 전문 지식과 지원을 제공하기 위해 최선을 다하는 것입니다. F5의 모든 팀은 이미 과중한 부담을 겪고 있는 애플리케이션 및 보안 팀이 이 심각한 업계 위협을 완화할 수 있도록 돕는 도구와 지침을 적극적으로 개발해 왔습니다.

저희는 F5 제품과 서비스를 평가한 결과, 현재 정보를 바탕으로 BIG-IP, NGINX, Silverline, Volterra 및 Threat Stack 제품이 이러한 문제에 취약하지 않다는 것을 확인했습니다. F5 관리 서비스의 경우, 일반적인 커뮤니케이션 채널을 통해 고객에게 연락했습니다. AskF5의 보안 권고에는 항상 Log4j 취약성에 대한 당사 제품 및 완화책에 대한 최신 정보가 포함됩니다.

F5 제품과 서비스를 활용하여 Log4j 취약점을 완화하는 것은 이러한 CVE가 사용자 환경에 미치는 위험을 완화하는 빠르고 효과적인 수단입니다. 장기적인 해결책을 위해 고객과 개발팀에서는 애플리케이션에서 취약한 Log4j 라이브러리를 업그레이드하거나 제거(더 이상 필요하지 않은 경우)할 것을 촉구합니다.

당사의 제품과 서비스 포트폴리오 전반에 걸쳐 포괄적이고 대응성 있는 보안 솔루션을 통해 지원을 제공하는 방식에 대한 자세한 내용은 아래에서 확인할 수 있습니다.

F5 보안 사고 대응 팀(SIRT)

공격을 받거나 취약성 노출에 대해 우려되는 경우 F5 지원팀에 연락하여 F5 SIRT 로 에스컬레이션을 요청하세요. 이 팀은 F5 소프트웨어 및 시스템 패치부터 구성 및 iRule 지원까지 모든 것에 대한 지침을 제공하고, 공격이나 취약성 노출을 완화하기 위해 24시간 연중무휴 운영됩니다.

BIG-IP Advanced WAF

F5는 Log4j 취약점에 대한 알려진 공격 벡터를 차단하는 BIG-IP Advanced WAF 및 ASM용 시그니처 세트를 출시했습니다. 이 글을 쓰는 시점에 F5 위협 연구팀의 총 9개 서명을 사용할 수 있으며, 그 중 2개는 최초 CVE가 공개된 후 몇 시간 내에 사용할 수 있었습니다. 당사는 우회 시도에 대한 보호 기능을 강화하기 위해 서명을 지속적으로 업데이트하고 있으므로 최신 Attack Signature Update(ASU) 패키지가 있는지 확인하세요.

기존 BIG-IP Advanced WAF(또는 ASM) 정책을 통해 이러한 취약점을 완화하는 방법에 대해 자세히 알아보려면 이 보안 고지를 참조 하세요.

BIG-IP 아이룰

Advanced WAF 또는 ASM 기능을 사용하지 않는 F5 BIG-IP 고객의 경우 F5 iRule을 애플리케이션에 적용하면 특정 CVE를 타겟으로 하는 공격적인 트래픽을 탐지, 기록하고 삭제할 수 있습니다. 최초 보안 권고 에는 iRule을 구현하는 데 필요한 자세한 정보와 지침이 포함되어 있습니다.

NGINX App Protect

NGINX App Protect 고객은 BIG-IP Advanced WAF 고객과 동시에 서명 업데이트를 받으므로 F5 플랫폼에 관계없이 일관된 애플리케이션 보안이 보장됩니다. NGINX App Protect 구성을 통해 관련 취약성을 완화하려면 서명이 업데이트되었는지 확인하고 이 문서를 검토하고 WAF 정책에 대해 "서버 측 코드 삽입" 공격 유형이 활성화되었는지 확인하세요. 최근 게시된 블로그 게시물 에서 추가 맥락을 확인할 수 있습니다.

볼테라 WAF

NGINX App Protect 및 BIG-IP Advanced WAF와 마찬가지로 Volterra WAF 플랫폼은 Log4j 취약점과 관련된 노출을 더욱 완화하기 위해 업데이트된 시그니처를 받았습니다. 이러한 서명은 이제 기본 WAF 정책에 포함되었으며 Volterra WAF 고객은 이 위협을 완화하기 위해 추가 조치를 취할 필요가 없습니다.

F5 실버라인

F5 Silverline 팀은 고객 애플리케이션이 해당 취약점으로부터 보호되도록 필요한 완화 조치를 구현했습니다. F5 Silverline SOC 는 지속적으로 위협을 모니터링하고 있으며, 위협 연구팀과 고객과 협력하여 필요한 완화 조치 및 보호 조치를 적용할 것입니다. Silverline 팀은 귀사의 AppSec 팀을 확장하여 24시간 연중무휴 귀사를 대신하여 업무를 진행합니다.

Silverline 구성에 대한 구체적인 질문이 있는 경우 SOC( support@f5silverline.com )에 문의하세요. Silverline 서비스에 대해 자세히 알아보려면 https://www.f5.com/products/security/silverline을 방문하세요.

위협 스택

F5는 최근 Threat Stack을 인수했으며 Threat Stack 서비스가 제공하는 중요한 검사, 탐지 및 보고 기능을 환영합니다. Threat Stack 서비스에는 루트로 서비스 시작, 셸에서 실행되는 서비스, 에스컬레이션 시도를 포함하여 Log4j의 손상을 나타낼 수 있는 여러 가지 탐지 규칙이 이미 포함되어 있습니다. 자세한 내용은 이 블로그 게시물 에서 확인하세요.

현재 Log4j 위협으로부터 애플리케이션을 보호하고, 비정상적인 활동을 탐지하고, 규정 준수를 보장하고, 포괄적인 애플리케이션 통찰력을 얻는 데 도움이 되는 Threat Stack 서비스에 관심이 있으시면 현재 F5 영업 담당자에게 문의하거나 https://www.threatstack.com을 방문하세요.

모양 보안

취약점을 악용하려는 대부분의 시도는 자동화된 정찰부터 시작됩니다. 이러한 점을 염두에 두고 Shape Security의 AI 기반 Bot Defense는 자동 검사를 제거하고 인터넷 기반 웹 애플리케이션의 취약점을 발견하려는 공격자의 어려움을 높이는 중요한 첫 번째 방어선입니다. Shape AI Cloud는 봇 기반 자동화 공격에 대한 거의 실시간 적응을 가능하게 하여 봇넷을 운영하는 공격자의 끊임없이 변화하는 전술에 대응할 수 있습니다. Shape에 대해 자세히 알아보려면 https://www.f5.com/products/security/shape-security 를 방문하세요.

루프에 머무르다

F5 완화책에 대한 최신 정보는 CVE-2021-44228 , CVE-2021-4104 , CVE-2021-45046 에 대한 보안 권고 사항을 참조하세요. 더 자세한 내용을 알고 싶은 고객은 다음 리소스를 통해 더 자세히 알아볼 수 있습니다.

추가 F5 블로그

F5 Labs

DevCentral

엔진엑스

위협 스택

우리는 고객에게 관련 취약점에 대한 최신 정보를 계속 제공할 것이며, 위의 리소스에 대한 링크를 추가할 것입니다. 또한, 고객은 소프트웨어 출시, 보안 경고 및 기타 중요 업데이트에 대한 알림을 구독 할 수 있습니다.

_______

스콧 알트먼 시니어 지음 F5 글로벌 보안 솔루션 아키텍트 디렉터