PLURA V5 Apache Log4j 취약점 공격 탐지 및 차단 필터 업데이트 제공 안내

□ Apache Log4j 취약점 (CVE-2021-44228)에 대응하여 시스템, 웹, 웹방화벽 필터 등록 완료되었습니다.

□ 시스템 필터는 필터 – 추천 항목에 필터를 운영체제와 그룹에 맞게 등록 하면 됩니다.

사용할 수 있는 패턴은 다음과 같습니다.

sudo egrep -I -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+' /var/log
sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+'

□ 웹과 웹방화벽의 경우 해당 필터 등록이 완료되었습니다.

사용할 수 있는 패턴은 다음과 같습니다.

(?i)((\$(%7b|\{)jndi|(\$\{::\-[jndi]+\})+|(\$\{lower:)+jndi\}+):((ldap[s]?|rmi|dns|[\$\{lower\:ldap\}]+)|(\$\{::\-[ldap]+\})+)|((\$\{(lower|upper):jndi)+:((\$|[ldap]\$)\{(lower|upper):[ldap]\})+[ldap]?)):(\/[^\n]+)

(?i)(\$\{((lower|upper)\:j|env\:\w+\:\-j|(lower|upper)\:j|\:\:\-j|(lower|upper)\:j)\}(n|\$\{(lower|upper)\:n|\$\{\:\:\-n)(d|[\$\\}\{]+((lower|upper)\:d|env\:\w+\:\-d|\:\:\-d))(i|[\$\\}\{]+(i|(upper|lower)\:i|\:\:\-i))(\S+)?([:$-}][lr]\b(\S+)?[:$-}][dm]\b(\S+)?[:$-}][ai]\b|rmi)\b(\S+)?\:\}?\/\/[a-z0-9])

 

내부 블로그