2022-05-17 20:50 (화)
팔로알토 네트웍스, 아파치 log4j 취약점 관련 보호 조치 강화
상태바
팔로알토 네트웍스, 아파치 log4j 취약점 관련 보호 조치 강화
  • 길민권 기자
  • 승인 2021.12.14 13:12
이 기사를 공유합니다

Apache log4j 2 취약점 발견...원격으로 악성코드 실행시킬 수 있어 대규모 피해 위험 높아
팔로알토 네트웍스, 아파치 log4j 취약점 관련 보호 조치 강화
팔로알토 네트웍스, 아파치 log4j 취약점 관련 보호 조치 강화

팔로알토 네트웍스(지사장 이희만)는 '아파치 로그4j 2(Apache log4j 2)'의 보안 취약점에 대응해 자사의 차세대 방화벽 및 클라우드 솔루션을 통해 보호 조치를 강화했다고 밝혔다.

오픈소스 자바(java) 기반 프레임워크인 ‘Apache log4j 2’는 Apache Struts, ElasticSearch, Redis, Kafka 등 전세계에서 널리 사용되고 있다. 간편하고 유연한 사용자 경험을 제공하는 장점이 있으나 이전에도 사용자 입력 처리 및 역직렬화(deserialize) 부분에 취약점이 발견된 바 있는 소프트웨어이다.

이번에 발견된 취약점(CVE-2021-44228)은 원격 코드 실행(RCE)에 관련되어 있다. Apache log4j 라이브러리를 사용하면 개발자가 애플리케이션 내에서 다양한 데이터를 기록할 수 있는데, 사용자 입력 데이터에 특수 문자가 포함되면 log4j 컨텍스트에 로그가 남게 된다. 이를 통해 Java 메소드 lookup 호출이 이루어지고, LDAP 서버의 사용자 정의 원격 Java 클래스가 실행되는데, 이 과정에서 취약한 log4j 2 인스턴스를 사용하는 피해 서버에서 RCE가 발생할 수 있다. 팔로알토 네트웍스는 기존의 RCE 공격들과 마찬가지로 패치되지 않은 시스템에 대한 대규모 스캔 활동이 시작된 것으로 확인했다.

아파치의 공식 패치가 공개됨에 따라 처음에는 2.15.0-rc1에서 CVE-2021-44228의 취약점이 수정된 것으로 보고되었지만, 그 후 해당 패치를 우회하는 방법이 발견됐다. 새로 릴리즈 된 2.15.0-rc2에서는 이 취약점으로부터 사용자를 보호할 수 있다.

팔로알토 네트웍스는 이상 트래픽에 대한 모니터링을 지속적으로 실시하고 있으며, 고객들을 위한 다양한 보호 조치를 제공하고 있다.

◇팔로알토 네트웍스 차세대 방화벽 사용 고객 및 선제 방어(Threat Prevention) 구독 고객은 Threat ID를 통해 이 취약점과 관련된 세션을 자동으로 차단할 수 있다.

◇확장형 탐지 대응 플랫폼 ‘코어텍스 XDR(Cortex XDR)’를 사용하는 고객은 Java Deserialization Exploit 보호 모듈을 사용해 공격 전반으로부터 보호된다. 이 밖에도 행동 기반 위협 차단(BTP) 엔진을 통해 보호되며, 코어텍스 XDR 프로 사용자들은 분석 엔진을 통해 익스플로잇 이후의 활동이 탐지된 내역을 확인할 수 있다.

◇보안 운영 자동화 플랫폼 ‘코어텍스 XSOAR(Cortex XSOAR)’에서는 자동으로 취약점을 감지하고 완화 조치가 실행된다. XSOAR 마켓플레이스에서 CVE-2021-44228 - Log4j RCE 팩을 다운로드 받을 수 있다.

◇프리즈마 클라우드 컴퓨트 디펜더 에이전트는 CI(Continuous Integration) 프로젝트, 컨테이너 이미지 또는 호스트 시스템이 2.14.1 이전 버전의 취약한 Log4j 패키지 또는 JAR 파일을 보유하고 있는지 여부를 감지한다.

이희만 팔로알토 네트웍스 코리아 대표는 "취약점의 심각성을 고려했을 때 빠른 패치가 요구되지만, 여전히 온프레미스 및 클라우드 환경 전체에 아직 패치를 적용하지 않은 서버가 존재하는 것으로 파악된다”라며 “팔로알토 네트웍스는 차세대 방화벽과 코어텍스 플랫폼, 프리즈마 클라우드를 통해 광범위한 모니터링과 촘촘한 대응 체계를 제공하고 있다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★