자바의 중요한 구성 요소인 로그4j에서 다시 한 번 취약점이 나타났다. 이번에 발견된 취약점은 임의 코드 실행을 가능하게 하는 것으로, 아파치재단 역시 빠르게 새 업데이트를 발표했다. 2.17.1 버전으로의 업그레이드가 요구된다.

[보안뉴스 문가용 기자] 아파치 소프트웨어 재단(Apache Software Foundation)이 또 다시 로그4j(Log4j)에 대한 새로운 취약점 패치를 발표했다. 이전 패치가 적용된 버전에서 임의 코드 실행 취약점이 발견됐기 때문이다. 이로써 로그4j에서는 요 몇 주 동안에만 5개의 취약점이 발견되고 해결됐다.


[이미지 = utoimage]

최근에 발견된 취약점은 CVE-2021-44832다. CVSS 기분으로 6.6점을 받아, 심각도가 매우 높은 수준은 아니다. 로그4j 2.0-알파7부터 2.17.0 버전 모두에서 발견되고 있는데, 2.3.2와 2.12.4 버전만은 예외다. 로그4j 1.x 버전들 역시 이 취약점의 영향을 받지 않는다. 자바 6을 사용하는 경우 로그4j 2.3.2로, 자바 7을 사용하는 경우 2.12.4로, 자바 8 이상을 사용하는 경우 2.17.1로의 업그레이드가 권장된다.

이번에 취약점을 발견한 건 체크막스(Checkmarx)라는 업체의 보안 연구원인 야니브 니즈리(Yaniv Nizry)라고 한다. 아파치 측에 취약점 정보를 제공한 건 12월 27일의 일이다. 니즈리는 자사 블로그를 통해 “CVE-2021-44832는 로그4j에서 제일 처음 발견된 오리지널 취약점인 CVE-2021-44228보다 익스플로잇 과정이 복잡하다”고 설명한다. “공격자가 환경 설정에 대한 통제 권한을 가지고 있어야 하기 때문”이다.

“로그4j에는 원격에 있는 환경 설정 파일을 로딩하는 기능이 있습니다. 아니면 코드를 가지고 로거를 설정할 수 있기도 하죠. 즉 중간자 공격을 실시함으로써 임의 코드 실행 공격으로까지 가져갈 수 있게 된다는 겁니다. 중간자 공격을 하면 사용자가 입력하는 값을 취약한 환경 설정 변수로 만들거나, 원격에서 환경 설정 파일을 조작할 수 있게 되니까요.” 니즈리의 설명이다.

이번 패치를 통해 아파치 재단은 이번 달에만 4개의 패치를 발표하게 되었다. 여기에 로그4j 1.2에서도 취약점이 발견됐으므로 총 5개의 취약점이 등장한 것이라고 집계할 수 있다. 참고로 로그4j 1.2에서 발견된 취약점은 패치가 발표되지 않을 것이라고 한다. 그 동안 발견된 로그4j의 취약점들을 요약하면 다음과 같다.

1) CVE-2021-44228 : 원격 코드 실행 취약점 / 2.0-beta9에서 2.14.1 버전 / 2.15.0 버전으로 해결 / CVSS 기준 10점
2) CVE-2021-45046 : 정보 노출 및 원격 코드 실행 취약점 / 2.0-beta9에서 2.15.0 버전(2.12.2 제외) / 2.16.0 버전으로 해결 / CVSS 기준 9.0점
3) CVE-2021-45105 : 디도스 공격 취약점 / 2.0-beta9에서 2.16.0 버전 / 2.17.0 버전으로 해결 / CVSS 기준 7.5점
4) CVE-2021-44832 : 임의 코드 실행 취약점 / 2.0-alpha7에서 2.17.0 버전 / 2.17.1 버전으로 해결 / CVSS 기준 6.6점
5) CVE-2021-4104 : 비신뢰 비직렬화(untrusted deserialization) 취약점 / 1.2 버전 / 픽스 나오지 않을 예정 / CVSS 기준 8.1점

로그4j 취약점은 현재 보안 업계의 가장 큰 문제로서 다뤄지고 있다. 호주, 캐나다, 뉴질랜드, 영국, 미국의 정보 기관들은 합동으로 이 취약점들에 대한 보안 권고문을 발표하기도 했다. 다량의 사이버 공격 단체들이 로그4j의 취약점을 찾아 익스플로잇을 시도하고 있으니 조속히 패치하라는 내용이었다.

3줄 요약
1. 로그4j에서 27일자로 또 새로운 취약점 나옴.
2. 현 시점 기준 가장 안전한 버전은 로그4j 2.17.1.
3. 이게 정말 끝일까?
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>