(옵저버 네트워크 뉴스) 12월 11일 AP 통신 보도에 따르면, 중국 알리바바 클라우드 보안팀은 웹 서버 소프트웨어 아파치의 오픈소스 로그 구성 요소인 Log4j에서 Log4Shell의 취약점을 발견했습니다. 이 취약점으로 인해 네트워크 공격자가 비밀번호 없이 네트워크 서버에 접근할 수 있습니다.
사이버 보안 전문가들은 이 취약점이 잠재적으로 매우 해로울 수 있으며 "컴퓨터 역사상 가장 큰 취약점"이 될 수도 있다고 믿습니다. Apple, Samsung, Steam을 포함한 클라우드 서비스가 영향을 받을 수 있습니다. Apache Software Foundation은 이 취약점을 가장 심각도가 높은 것으로 평가했습니다.
Alibaba Cloud 팀이 12월 10일에 발표한 최신 경고
사건은 지난달 24일 중국의 Alibaba Cloud 팀 구성원이 Apache에 이 취약점을 공개했습니다. 그 후, 오스트리아와 뉴질랜드의 공식 컴퓨터 비상 팀이 이 취약점을 경고하는 데 앞장섰습니다.
뉴질랜드에서는 이 취약점이 "적극적으로 악용"되고 있으며 개념 증명 코드가 공개되었다고 밝혔습니다.
이번에 노출된 취약점은 다양한 애플리케이션 및 네트워크 서비스에서 널리 사용되는 Java 로깅 프레임워크의 Log4j에 존재합니다. 이는 문제 발생 시 점검을 용이하게 하기 위해 실행 활동 과정을 저장하는 프로그램 내 기록 도구입니다. 거의 모든 네트워크 보안 시스템은 기록을 위해 일종의 로깅 프레임워크를 사용하며, 이로 인해 Log4j도 널리 영향력을 발휘하게 됩니다.
사이버 보안 관리 회사인 Cloudflare의 최고 보안 책임자인 Joe Sullivan은 이 결함으로 인해 악의적인 공격자가 "원격으로 코드를 실행"하여 다른 시스템에 액세스할 수 있으며 이는 Log4j 소프트웨어의 광범위한 사용을 고려할 때 가능한 "가장 큰 허점"이라고 말했습니다. 현재까지.
이달 10일에는 경보가 더욱 확대되었습니다. 이날 마이크로소프트(MS) 게임 '마인크래프트'는 자바 버전의 게임이 공격에 취약하다는 내용의 공지문을 내고 사용자들에게 보안 문제를 해결하기 위한 즉각적인 조치를 권고했다. 플레이어는 게임의 채팅 상자에 메시지를 붙여넣어 다른 플레이어의 컴퓨터에서 프로그램을 실행할 수 있습니다.
같은 날 Sullivan은 회사에서 "지난 6~10시간 동안" 취약점을 사용하는 악의적인 사용자가 급증했다고 말했습니다.
데이터 보안 플랫폼 LunaSec의 연구원들은 Steam과 Apple의 클라우드 서비스가 영향을 받았다는 증거를 발견했으며 Palo Alto Network는 블로그 게시물에서 Twitter와 Amazon도 공격을 받았다고 언급했습니다.
전문가들은 이 취약점으로 인한 잠재적 피해에 대해 엄숙히 경고했습니다.
네트워크 보안업체 크라우드스트라이크(Crowdstrike)의 애덤 메이어스(Adam Meyers) 수석부사장은 미국 시간으로 10일 오전 해커들이 해당 취약점을 '완전히 무기화'하고, 해당 취약점을 악용할 수 있는 툴을 개발해 외부로 유포했다고 밝혔다. 그는 "지금 인터넷이 불타고 있다"고 설명했으며, 범죄자와 해커들은 이 취약점을 악용하기 위해 안간힘을 쓰고 있으며, 주요 기관의 네트워크 보안 담당자는 이를 패치하기 위해 시간을 다투고 있다고 설명했습니다.
또 다른 사이버 보안 회사인 Tenable의 CEO인 Amit Yoran은 Log4Shell을 "지난 10년 동안 가장 크고 가장 심각한 단일 취약점"이라고 불렀으며 "현대 컴퓨터 역사상 가장 큰 취약점"일 수도 있습니다.
Associated Press에서는 이 취약점이 최근 몇 년간 발견된 컴퓨터 취약점 중 가장 심각한 취약점일 수 있다고 언급했습니다. Log4j는 업계와 정부 전반에 걸쳐 사용되는 클라우드 서버 및 엔터프라이즈 소프트웨어에서 "유비쿼터스"입니다. 수정되지 않는 한, 범죄자, 스파이, 심지어 초보 프로그래머도 이 취약점을 쉽게 이용하여 내부 네트워크에 침입하여 정보를 훔치고 악성 코드를 심고 중요한 정보를 삭제할 수 있습니다.
Apache Software Foundation은 이 취약점의 심각도를 10단계 중 가장 높은 수준으로 평가했습니다.
외국 소셜 미디어 사용자들은 Log4j의 중요성을 이모티콘 형태로 설명했습니다
현재 주요 기업에서는 이 취약점을 수정하기 시작했습니다. 세계 최대 네트워크 보안 회사인 McAfee에 따르면 가장 중요하고 완전한 완화 방법은 log4j를 안정 버전 2.15.0으로 업데이트하는 것입니다.
앞으로 McAfee는 (DNS)와 같은 추가 서비스를 사용하여 이 취약점에 대한 변경 사항을 테스트할 계획입니다. 우리는 결과에 따라 이 문서를 적절하게 업데이트할 수 있습니다. 한편, McAfee Enterprise는 공격자의 취약점 악용 시도를 탐지하는 NSP(Network Security Platform)를 활용하는 고객을 위해 네트워크 서명 KB95088을 출시했습니다.
12월 10일 Alibaba Cloud 보안팀에서는 Apache Log4j 2.15.0-rc1 버전에 취약점 우회가 발견되었다는 공지를 발표했습니다. 적시에 Apache Log4j 2.15.0 공식 버전으로 업데이트하시기 바랍니다.
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
