Log4j 이슈 관련 내용

[출처 - Nomad Coder]

Java에서 많이 쓰이는 패키지 중 한 종류. 로그 기록의 framework.

로그를 포맷팅하고, 필터링하고, 어플리케이션의 파일로 이를 기록하는 일을 한다.

Java를 사용하는 어플리케이션에서는 Log4j를 사용한다.

사용하는 이유는 서버에 일어나는 모든 일을 기록하기 위해서(ex. 사용자가 홈페이지로 이동 할 때, 로그인을 할 때, 댓글을 달 때 등)

이러한 기록을 Log4j가 도와준다.

인스타그램, 유튜브 등에서 유저가 쓰는 댓글은 '신뢰할 수 없는 사용자 입력'으로 인지한다.

즉, 유저가 작성하는 데이터들은 절대 백엔드에서 실행하지 않는다는 뜻이다.

유저의 입력을 신뢰하게 되면, 결국 누구든 코드를 너의 서버에서 실행시킬 수 있다.

유저 입력을 코드로 실행시키는 것은 SQL Injection이라는 해킹이 만들어진 취약점이기도 하다.

Log4j는 'Lookups'라는 기능이 있는데 어느 정도 유저의 입력을 신뢰한다.

공격자가 서버에 요청을 보내면 그리고 요청에 이와 같은 string(문자열)이 있으면,

Log4j는 이걸 로그에 넣고 또한 동시에 해당 URL을 불러온다.

문제는 해당 URL이 공격자의 것일 수도 있다는 것이다.

보다시피 JNDI(Java Naming and Directory Interface)라는 lookup을 사용하는데

문제는 공격받는 서버는 그 URL만 부르는 것이 아니라 해당 URL에 호스팅 되어있는 코드가 해당 공격 받는 서버에서 실행될 수도 있다는 것이다.

마인크래프트 서버는 Log4j로 모든 메세지를 로깅한다. 유저의 채팅창에서.

따라서 공격자가 해당 문자열을 포함한 메세지를 보내면 서버는 공격자의 서버에 접속하여 그들의 코드를 실행시킨다.

이와 같은 보안 취약점은 애플, 테슬라, 아마존 등에서 이미 발견되었다.

🐠붕어의 코딩 공부 기록🐠