개요

이 문서에서는 Log4j 원격 코드 실행(RCE) 취약점과 관련된 정보를 논의하고, 고객을 보호하기 위해 Cato가 취한 조치를 설명합니다．

이 문서는 CVE-2021-44228에 대한 내용으로, 10.0(심각)에 해당하는 기본 CVSS 점수가 할당되었습니다

Cato는 고객 기반에 이 취약점이 미치는 영향을 현재 평가하고 있으며, 상황이 진행됨에 따라 이 문서를 업데이트할 예정입니다． 

배경과 영향

Java 로그 라이브러리 Apache Log4j 2의 버전 2.0-beta9부터 2.14.1 사이에서 결함이 발견되었습니다． 시스템이 공격자가 제어하는 문자열 값을 공격자의 JNDI LDAP 서버 조회로 기록하면 원격 공격자가 서버에서 코드를 실행할 수 있게 됩니다．

이 취약점은 공격자가 Java 애플리케이션에서 악성 코드를 실행할 수 있게 하며, Log4j가 전 세계 소프트웨어 환경에서 광범위하게 사용되기 때문에 상당한 위험을 초래합니다． 

환경

이 문제는 log4j 버전 2.0에서 2.14.1 사이에만 영향을 미치는 것으로 보입니다． 이 결함을 악용하려면 다음이 필요합니다：

• 공격자가 임의의 데이터를 보낼 수 있는 원격으로 접근 가능한 프로토콜(HTTP, TCP 등)이 있는 엔드포인트,
• 공격자가 제어하는 데이터를 기록하는 엔드포인트의 로깅 문．

log4j 1.x에서 JNDI를 사용할 수 있는 JMS Appender가 존재하기 때문에 log4j 버전 1.x도 이 취약점의 영향을 받을 수 있습니다． 영향력은 보안 연구자들이 아직 조사 중입니다． 

Cato는 무엇을 하고 있나요？

Cato Networks의 보안 분석가들은 고객이 이 위협에 노출되지 않도록 잠재적 취약점이나 노출 가능성을 식별하고, 정확히 찾아내며, 완화하기 위해 끊임없이 작업하고 있습니다． 

• 2021년 12월 9일: Apache Log4j 소프트웨어에서 활발한 익스플로잇 시도가 있는 것으로 보안 커뮤니티가 인지하였습니다．
• 2021년 12월 10일: Cato Networks는 이 익스플로잇과 관련된 트래픽 서명을 식별하고 고객 기반을 적극적으로 모니터링하기 시작했습니다．
• 2021년 12월 11일: 우리는 모든 Cato 고객의 IPS 내에서 이 취약점을 완화하기 위해 글로벌 차단 규칙을 구현하였습니다．

Cato Cloud 인프라는 현재 이 익스플로잇에 취약하지 않은 것으로 보입니다． 

무엇을 해야 하나요？

• Cato IPS가 활성화된 경우, 우리는 이 취약점의 트래픽 서명을 자동으로 적극 차단할 것입니다． Cato 플랫폼에 대한 패치나 업데이트는 필요하지 않습니다．
• Cato SDP 클라이언트, Cato 소켓 및 Cato v소켓은 Apache Log4j를 사용하지 않습니다．
• Apache 제품을 사용하는 고객은 공급업체의 계속되는 권고사항을 따르는 것이 좋습니다

이 CVE에 대한 차단 작업을 나타내는 IPS 이벤트가 Cato 관리 애플리케이션 내에서 생성됩니다． 예시：

이 상황은 현재 IT 환경 내에서 진화하고 있으며, Cato Networks는 고객이 계속 보호될 수 있도록 상황을 적극 모니터링하고 조사하고 있습니다．