Apache Log4j에 대한 긴급 패치(VMSA-2021-0028)

오늘 하루 Apache Log4j의 취약점으로 인해 사용하는 수많은 시스템이 긴급 점검 또는 패치에 들어갔습니다.

 

Apache Log4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 라이브러리로,

다양한 IDE에 추가되어 프로그램 실행시 자동으로 지정된 경로에 로그를 저장해주는 기능을 통해

주로 디버그 용도로 사용되고 있습니다.

 

Apache Log4j의 취약점은 악의적인 사용자가

해당 라이브러리를 사용하는 시스템에 원하는 명령어를 원격에서 실행시킬수 있다는 것이며,

이를 통해 시스템을 사실상 원격 조정할수 있게 되는 것입니다.

 

사용하고 있는 시스템이 너무 많아 컴퓨팅 역사상 최악의 취약점이라고까지 불리고 있으며,

취약점을 평가하는 CVSS(Common Vulnerability Scoring System)의 점수 기준으로,

가장치명적으로 분류되는 10점만점에 10점이 부여되었습니다.

 

이는 전세계적으로 매우 심각한 보안 위기로, 사용되는 모든 시스템에 긴급히 조치가 필요한 상황입니다.

\

 

이번 이슈는 11월 24일 알리바바 클라우드의 보안팀의 Chen Zhaojun가 최초 발견했으며,

지난 11월 30일에 이미 패치가 Github에 공지되었으나, 당시에는 큰 이슈가 되지는 못했습니다.

 

이후 12월 10일 아침에 GitHub Advisory Database를 통해 CVE-2021-44228 취약점이 공식 게재되었으며,

같은 날 오후 마인크래프트라는 게임의 CTO가 치명적 보안 이슈를 해결했다는 트위터를 통해,

일반사용자들도 인지하기 시작하였고, 급속도로 관련 내용이 SNS 등을 통해 퍼지기 시작하였습니다.

 

지난 주말사이 우리나라의 수많은 IT 담당자들도 관련된 소식을 접하게 되었습니다.

 

이에 대해 Apache 재단은 취약점을 해결한 보안 업데이트를 즉시 적용할 것을 권장하고 있습니다.

또한, KISA와 국정원에서도 해당 취약점에 대해 최신 버전(v2.15.0)으로 즉시 업데이트하거나,

버전별로 관련 조치를 즉시 수행할 것을 적극 권장하고 있습니다.

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=12438 

 

VMware의 수많은 제품군에도 예외는 아니였습니다.

VMware의 다양한 제품내에서 해당 라이브러리를 사용하고 있었고,

긴급히 해당 라이브러리를 사용하는 제품들에 대해, 개별적인 해결 방법을 공지하였습니다.

참고로, VMware에서는 CVE-2021-44228를 자체 코드명인 VMSA-2021-0028로 명명하고 부르고 있습니다.

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

 

 

VMware Cloud 서비스 중 대표적인 VMware Cloud on AWS도 당연히 패치가 이루어져야할 대상입니다.

VMware Cloud on AWS는 vSphere, vSAN, NSX, SRM, AVI, HCX, vCenter, vRealise Loginsight등

다양한 솔루션들의 조합으로 구성되어 있기 때문에, 조치해야할 부분 역시 다양하게 존재합니다.

 

대부분의 VMware의 시스템들은 다양한 이유로 패치가 나와도 즉시 적용하지 않는 일이 종종 있습니다.

실제로는 문제없이 사용중인 시스템은 건드리지 않는 것이 제일이라는 운영방침을 따르는 곳도 많습니다.

그렇기에 중요 패치가 나와도 실제 적용될때까지 시간이 오래걸리는것이 일반적입니다.

보안 위협에 대해 패치될때까지 제로데이 어택에 대한 위험성이 지속적으로 유효한 것입니다.

 

이와 관련하여 VMware Cloud on AWS는 오늘 오후 1시부터 즉시 모든 SDDC 시스템의 긴급 패치에 돌입하였습니다.

기존에 잡혀있던 다른 업그레이드 스케줄도 모두 연기하면서, 사용자의 피해를 최소화하고자 노력하고 있습니다.

공지에 따르면, 긴급 유지보수 정책에 따라서 24 시간 이내에 패치가 적용 완료될 것으로 보입니다.

• 패치가 적용되는 동안, 최대 5분까지 vCenter에 접근하지 못할 수 있습니다.
• VMware Cloud on AWS에서 구동되는 사용자 워크로드에는 아무런 영향이 없습니다.
• 패치와 관련하여 VMware Cloud on AWS 사용자가 해야할 특별한 조치는 없습니다.

이와 같이 VMware Cloud on AWS는 VMware 전문 SRE팀에서 위험도나 중요도를 즉시 파악하고,

서비스의 영향도를 최소화하면서 즉시 패치를 직접 진행하기 때문에,

사용자는 별도의 긴급한 조치 없이 위험에서부터 최대한 빠르게 벗어날 수 있는 안전한 클라우드입니다.

 

마지막으로 VMware Cloud on AWS는 클라우드 서비스로,

보안에 대해서는 사용자와 VMware의 공동 책임모델(Shared Responsibility)에 해당합니다.

따라서, 사용자는 혹시 모를 침입에 대비하여 신뢰할 수 있는 접근만 허용하도록 방화벽에 대한 정책 점검을 권장합니다.

 

이번 사태와 관련된 VMware의 관련 링크를 공유합니다.

• VMware Security Advisory VMSA-2021-0028 (descriptions of the issues and workarounds)
• VMSA-2021-0028 Questions & Answers (common questions & answers)
• VMSA-2021-0028 & Log4j: What You Need to Know (a blog post with similar content)
• VMware Communities Thread On CVE-2021-44228 (A great place to ask questions)
• Tips for Patching VMware vSphere & Cloud Infrastructure (practical advice for patching success)
• VMware vSphere Security Configuration Guide (baseline security best practices for vSphere)
• VMware Ransomware Resource Center (discussion around resilience tactics)
• VMware Ports & Protocols Firewalling Guidance (ports.vmware.com)

AWS에서도 관련된 서비스별 처리 상황 및 방안에 대해 공지하였으며,

VMC와 연동된 native AWS 서비스를 사용중이라면 해당 내용에 대해 확인이 필요합니다.

• Apache Log4j2 보안 이슈 (CVE-2021-44228) 대응 공지