PLURA V5 Apache Log4j 취약점 공격 탐지 및 차단 필터 업데이트 제공 안내
□ Apache Log4j 취약점 (CVE-2021-44228)에 대응하여 시스템, 웹, 웹방화벽 필터 등록 완료되었습니다.
□ 시스템 필터는 필터 – 추천 항목에 필터를 운영체제와 그룹에 맞게 등록 하면 됩니다.
사용할 수 있는 패턴은 다음과 같습니다.
sudo egrep -I -i -r '${jndi:(ldap[s]?|rmi|dns):/[^n]+' /var/logsudo find /var/log -name *.gz -print0 | xargs -0 zgrep -E -i '${jndi:(ldap[s]?|rmi|dns):/[^n]+'
□ 웹과 웹방화벽의 경우 해당 필터 등록이 완료되었습니다.
사용할 수 있는 패턴은 다음과 같습니다.
(?i)(($(%7b|{)jndi|(${::-[jndi]+})+|(${lower:)+jndi}+):((ldap[s]?|rmi|dns|[${lower:ldap}]+)|(${::-[ldap]+})+)|((${(lower|upper):jndi)+:(($|[ldap]$){(lower|upper):[ldap]})+[ldap]?)):(/[^n]+)
(?i)(${((lower|upper):j|env:w+:-j|(lower|upper):j|::-j|(lower|upper):j)}(n|${(lower|upper):n|${::-n)(d|[$}{]+((lower|upper):d|env:w+:-d|::-d))(i|[$}{]+(i|(upper|lower):i|::-i))(S+)?([:$-}][lr]b(S+)?[:$-}][dm]b(S+)?[:$-}][ai]b|rmi)b(S+)?:}?//[a-z0-9])
내부 블로그
