배경

2021년 12월 9일, 보안 산업은 새로운 취약점 CVE-2021-44228을 인식하게 되었습니다. CVSS(공통 취약점 점수 체계)에서 완벽한 위험 점수 10.0을 받은 CVE-2021-442288은 가장 높은 심각 경고 수준을 갖고 있습니다.

기술적 배경을 제공하기 위해 2.0-beta9부터 2.14.1까지의 버전에서 Java 로깅 라이브러리 "Apache Log4j 2"의 결함이 발견되었습니다. 이는 원격 공격자가 Apache를 실행 중인 서버에서 코드를 실행하게 할 수 있으며, 공격자가 JNDI LDAP 서버 조회를 사용하여 공격자가 제어하는 문자열 값을 시스템이 기록하면 발생할 수 있습니다.

간단히 말해, 이 익스플로잇은 공격자가 Java 애플리케이션에서 악성 코드를 실행하게 하므로, 전 세계 소프트웨어에서 Log4j가 널리 사용되기 때문에 상당한 위험을 초래합니다.