Log4j2, LOG2SHELL 에 취약점에 따른 아코디언 대응
Apache Log4j 2*에서 발생하는 원격코드 실행 취약점
Java 로깅 라이브러리 Apache Log4j에서 결함이 발견되었습니다.
최초 발견
중국 최대 전자상거래 업체인 알리바바의 보안 연구원 첸 자오쥔(Chen Zhaojun)은 11월 24일 아파치 재단(오픈 소스 프로젝트)에 취약점을 처음 보고했습니다. 이들은 12월 9일 마인크래프트 게임을 호스팅하는 서버에서 발생한 공격을 발견했다. 추가 포렌식 분석 후 그들은 사이버 범죄자들이 격차를 더 일찍 발견했으며 최소한 2021년 12월 1일부터 이를 악용했다는 것을 깨달았습니다.
공격방식
시스템이 공격자의 JNDI LDAP 서버 조회로 공격자가 제어하는 문자열 값을 기록하는 경우 원격 공격자가 서버에서 코드를 실행 가능합니다.
주요내용
🚨 Apache 소프트웨어 재단은 자사의 Log4j 2(프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티)에서 발생하는 취약점(CVE-2021-44228)을 해결한 보안 업데이트 권고
🚨 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
🚨영향 받는 Apache Log4j 버전
CVE-2021-45105 : 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.3.1, 2.12.3 제외)
CVE-2021-44832 : 2.0-beta9 ~ 2.17.0 버전 (Log4j 2.3.2, 2.12.4 제외)
1.x에 JNDI를 사용할 수 있는 JMS Appender가 존재하기 때문에 log4j 버전 1.x도 이 취약점의 영향을 받을 수 있습니다.
취약점 대응 방안
제조사 홈페이지를 통해 최신버전으로 업데이트 적용이 필요합니다.
Java 8 이상 : Log4j 2.17.1으로 업데이트
Java 7 : Log4j 2.12.4으로 업데이트
Java 6 : Log4j 2.3.2으로 업데이트
아코디언 제품 대응현황
영향을 받는 제품 버전
| 제품 | 구성요소 |
| 아코디언 1.3 ~ 1.14.1 | elasticsearch |
| 아코디언 1.16 ~ 1.20 | accordion, elasticsearch |
| 아코디언 2.0 | elasticsearch, logstash |
아코디언 팀에서는 이번 취약점의 심각성을 빠르게 인지하여 긴급 아코디언 보안패치를 발행하였습니다.
패치는 담당 엔지니어를 통해 진행됩니다.
참고 자료
- KISA – Apache Log4j 보안 업데이트 권고
- Remote code injection in Log4j – Github
- Apache Log4j Security Vulnerabilities
- Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package
