Log4j
취약성
대응 센터
Apache Log4j의 Log4Shell 취약성 관련 Sumo Logic 콘텐츠 허브에 오신 것을 환영합니다. 현재 진행되는 사안에 대한 최신 업데이트와 관련 자료를 여기서 확인하실 수 있습니다.
Sumo Logic의 Apache Log4j 관련 업데이트
Sumo Logic이 공격을 받았거나 서비스에 영향이 있었는가?
초기 Log4Shell 취약성과 그 후속 두 건의 CVE에서, Sumo Logic의 보안 및 엔지니어링 팀은 Sumo Logic이 공격 받지 않았고 서비스에도 영향이 없었음을 확인했습니다.
Sumo Logic을 사용해 Log4j를 검색하려면 어떻게 해야 하나?
해당 활동을 탐지하기 위한 쿼리 및 기술적 세부 내용은 Log4Shell CVE-2021-44228 상황 인식 브리프(Situational Awareness Brief) 문서를 참고하시기 바랍니다.
취약성 영향 여부 확인
- 조직에서 Apache Log4j 로깅 서비스를 사용 중이라면, 해당 버전을 Apache 공식 소스와 비교하고 최근 보고된 취약성이 해결된 최신 버전으로 업데이트하는 방법을 확인하시기 바랍니다.
- Sumo Logic 콘텐츠 팀은 고객이 자사 환경 내에서 잠재적 침해 사례를 식별할 수 있도록 대시보드와 검색 기능을 개발 중입니다.
- 다음은 Sumo Logic 플랫폼을 사용하는 경우에 공격자가 악용을 시도할 수 있는 최신 익스플로잇 버전을 찾기 위한 일반적인 검색 예시로, 사용자의 환경에서 유사한 사례를 식별하는 데 도움이 됩니다.
("jndi:" or "{lower:j" or "{upper:j" or "-j}" or ":-j%7") | parse regex "(?<jndi_string>\$\{(?:\$\{[^\}])?j\}?(?:\$\{[^\}])?n\}?(?:\$\{[^\}])?d\}?(?:\$\{[^\}])?i.*?:}?[^,;\"\\]+}?)[\\\";,]" nodrop - 이러한 활동을 식별할 수 있는 더 심층적인 기술적 탐지 방법은 Log4Shell CVE-2021-44228 상황 인식 브리프문서를 참고하시기 바랍니다.
Sumo Logic의 Log4j 취약성 완화 조치
Sumo Logic이 취한 조치
- 12월 10일 새벽부터 Sumo Logic 보안팀이 잠재적 침해 지점의 성격과 심각성을 조사·검증한 결과, Sumo Logic은 전혀 공격받지 않았음이 확인되었습니다.
- Sumo Logic은 Apache Log4j와 달리 사용자 지정 룩업(lookup)을 호출하지 않는 맞춤형 SumoLog4Layout 라이브러리를 사용하므로, Sumo Logic 서비스는 전혀 영향을 받지 않았습니다.
- Sumo Logic의 Installed Collector는 인터넷을 통해 수신하는 데이터를 호출하지 않도록 설계되어 있습니다. 또한 Collector에서 Log4j를 사용하는 로깅 기능은 내부 감사용으로만 사용되므로 보안상 심각한 위험은 없었습니다. 예방 조치로, 12월 11일 Log4j v2.15.0을 포함한 업데이트 버전의 Installed Collector를 배포했습니다. 이후 CVE-2021-45046 발견에 따라 12월 16일에 Log4j v2.16.0으로, CVE-2021-45105 발견에 따라 12월 19일에 Log4j v2.17.0으로 업데이트했으며, 12월 29일에는 CVE-2021-44832에 선제적으로 대응하기 위해 Log4j v2.17.1로 Collector를 다시 업데이트했습니다.
- Sumo Logic은 고객과 지속적으로 소통하고 있습니다.
- Sumo Logic의 시스템 보안팀 및 글로벌 운영 센터(GOC)는 취약성의 특성, 공격 방식, 탐지 우회 시도 등 관련 변화를 면밀히 모니터링하고 있습니다.
Sumo Logic 고객이 해야 할 일은 무엇인가?
- 2021년 12월 29일, Sumo Logic은 Installed Collector의 신규 버전인 19.375-4를 배포했습니다. 이 버전은 Log4j v2.17.1로 업데이트되어 CVE-2021-44832 관련 취약성을 해결합니다. 모든 고객은 즉시 Installed Collector를 최신 버전으로 업그레이드하시도록 권장합니다.
- 이전 Log4j 버전에서 아직 발견되지 않았거나 공개되지 않은 잠재적 문제가 악용되지 않도록 항상 최신 릴리스를 이용해 주십시오.
- Sumo Logic 고객 지원팀은 알려진 취약 버전을 사용하는 고객에게 직접 연락하여 가능한 한 신속히 안전한 버전으로 전환될 수 있도록 지원하고 있습니다.
- 궁금한 점이 있으시면 support@sumologic.com으로 문의하세요.
클라우드 네이티브 아키텍처의 진정한 중요성
확장 가능한 설계
다이내믹하고 확장 가능하며 안전한 플랫폼
Sumo Logic은 전 세계 2,300여 개 이상의 기업을 위해 1엑사바이트(Exabyte) 이상의 데이터와 1000조 이상의 레코드를 분석합니다.
멀티테넌트 아키텍처
일관되고 지속적으로 업데이트되는 소프트웨어와 균형 잡힌 리소스를 통해 모든 고객에게 빠르게 배포되도록 설계되었습니다.
설계 단계부터 적용된 보안
초기 설계부터 내장된 보안
동종업계 최고 수준의 보안 기술, 엄격한 보안 프로세스, 그리고 고객별로 매일 교체되는 암호화 키로 사용자의 데이터를 보호합니다.
클라우드 환경을 위해 보안 우선 원칙으로 설계
SOC 2 Type 2, PCI DSS 3.2.1, CSA Star, FedRAMP® Moderate 및 HIPAA 인증 보유
머신러닝 기반 분석
통찰력 있는 분석
이상치 탐지를 통해 실시간 이상 현상을 식별·예측하고, 특허 받은 LogReduce® 및 LogCompare 패턴 분석으로 근본 원인을 발견합니다.
강력하고 직관적인 쿼리 기반 분석
풍부한 연산자 라이브러리로 파워 유저의 작업을 지원하고, 누구나 쉽게 사용할 수 있는 검색 템플릿을 제공합니다.
Sumo Logic Collector를 반드시 업그레이드해야 하나요?
예. Sumo Logic Installed Collector를 업데이트하는 것이 좋습니다. Sumo Logic Installed Collector는 인터넷에서 수신한 내용을 전혀 호출하지 않도록 설계되어 있습니다. 또한 Installed Collector에서 Log4j를 사용하는 로깅은 내부 감사 목적에 한정되므로, 이러한 취약점이 심각한 위험을 초래하지 않습니다. 그럼에도 불구하고 예방 차원에서, 2021년 12월 29일을 기준으로 Apache 소프트웨어 재단의 Log4j 코드 패치 및 업데이트를 반영한 네 번의 업데이트를 Installed Collector에 배포했습니다. 따라서 최신 버전으로 업데이트할 것을 권장합니다.
Log4Shell이란 무엇인가요?
Log4Shell과 Log4j의 차이는 무엇인가요?
Log4j는 어떻게 악용되나요?
어떤 대상이 영향을 받나요?
Sumo Logic이 함께 합니다
기존 고객
이 시기는 고객과 보안팀에 매우 스트레스가 큰 시기일 수 있음을 이해합니다. Sumo Logic 고객이라면 계정팀이 대기 중이며 지원할 준비가 되어 있습니다. 추가 기술적 문의나 우려 사항이 있으면 Sumo Logic 지원팀에 케이스를 열어 이메일로 문의하시거나 요청서를 제출하세요.
모든 사용자
아직 Sumo Logic 고객이 아니지만 본 건과 향후 유사한 위협에 대응하는 Sumo Logic의 지원 방식에 대해 더 알고 싶으시면, 무료 체험을 신청해 보세요.
