◎ 해킹메일 시나리오
> 발신자 이메일주소를 속이는 경우
- 이메일 내 악성코드를 첨부하는 경우가 높습니다.
- 특정 링크를 클릭하여 수신자의 민감정보를 입력하도록 유도하는 경우가 높습니다.
  (ex. 메일용량부족/이메일 패스워드 만료와 같은 문제 해결을 위해 로그인 요청)
- 이메일 관련내용을 회신 받을 필요가 없습니다.
- 한글자 정도 착각할  수 있는 메일 도메인을 사용합니다.
- 발송 메일 서버도 다를 수 있습니다.

> 발신자 이메일주소를 속이지 않는 경우
- 발신자 이메일이 해킹되었을 경우가 높습니다.
- 발신자 이메일의 내용이 모두 노출되었을 경우가 높습니다.
- 금전적인 부분을 노리고 해킹 메일을 발송했을 경우가 높습니다.(ex. 대금결제 계좌번호 변경 요청)
- 이메일 관련내용을 회신 받을 목적이 높습니다.
- 정상메일과 혼돈 가능성이 높습니다.

'분석 > 이메일' 카테고리의 다른 글

이메일 헤더 분석 사이트  (0) 2023.10.16
이메일 헤더 분석  (0) 2023.10.16
이메일 헤더 형식  (1) 2023.10.16

◎ 이메일 헤더 분석 사이트

> mxtoolbox
https://mxtoolbox.com/EmailHeaders.aspx

 

Email Header Analyzer, RFC822 Parser - MxToolbox

 

mxtoolbox.com

 

> ip-adress
https://www.ip-adress.com/trace-email-address

 

Trace An Email Address Now - Find The Owner With Our Email Tracer

Trace Email Tracing an email address is more important than ever with all of the scams online. Sometimes it is very hard to tell if that email you received on your inbox is valid or if it is just SPAM, because current email fraudsters are getting very clev

www.ipaddress.com

'분석 > 이메일' 카테고리의 다른 글

해킹메일 시나리오  (0) 2023.10.16
이메일 헤더 분석  (0) 2023.10.16
이메일 헤더 형식  (1) 2023.10.16

해킹메일/스팸메일/악성메일/피싱메일 등 위변조된 이메일 헤더형식을 분석해 봤습니다.

 

◎ 이메일 헤더 분석
> Received: 는 송신된 메일이 어떤 경로를 통해서 전송되었는지의 기록합니다.(최상단이 가장 마지막 경로)
ㄴ from A by B for C : A메일서버를 통해 B메일서버에 전송된 전자우편으로 C에게 전달되었다는 의미입니다.
ㄴ Header 내에 Received: 가 여러개 있는 경우, 다른 몇 개 서버를 거쳐 전달된 것으로 Received: 헤더에 거쳐온 메일 서버들이 모두 표시됩니다.
ㄴ 최하단 Received: 헤더가 제일 처음 메일이 발송된 곳이고, 그 곳에서 차례대로 위쪽으로 지나온 것입니다.
ㄴ 최하단 Received: 정보 중 from 정보는 호스트네임(도메인 이름, IP)입니다.
ex. Received: from localhost(unknown [10.86.224.108](Authenticated sender: kaiwei.yeo@sheleqals.com) by us2.outbound.mailhostbox.com
ㄴ 메일서버 도메인과 발신자 메일 도메인을 비교합니다.
ㄴ 발송 메일서버는 us2.outbound.mailhostbox.com인데(무료), 발송자 전자운편 주소 도메인은 sheleqals.com입니다.

     => 수신자가 이메일을 확인 시  kaiwei.yeo@sheleqals.com 이메일 주소에서 발신된 것으로 착각할 수 있으나,
          실제로 발신된 메일서버는 sheleqals.com 가 아니라 무료 메일서버( us2.outbound.mailhostbox.com )를 이용해 
          수신자를 속이려고 한 것입니다.

> Authentication-Results는 전자메일 인증 확인 결과입니다.
ㄴ dkim="none (message not signed)" => 인증결과 메시지서명 없다는 것으로 기업에서는 메시지서명을 필수로  사용합니다.

> Date는 수진자가 메일을 수신한 날짜 및 시간입니다.

> From은 메일의 송신자 이름 및 계정 정보입니다.

> To는 메일의 수신자 이름 및 계정 정보입니다.

> Subject는 메일 본문의 제목입니다.

> User-Agent는 에플리케이션 정보입니다.
ㄴ User-Agent: Roundcube Webmail/1.4.8 => 오픈소스로 기업에서는 사용하는 경우가 없습니다.

> Message-ID는 메일 서버에서 부여하는 메일의 식별 번호입니다.

> Return-Path는 메일 전송이 실패할 경우 반송될 계정 정보로서 일반적으로 MTA에서 송신자의 메일 주소를 입력합니다.

> 헤더 위조 여부 확인 : 추적을 어렵게 하기 위해 헤더에 아래 내용을 추가하는 경우도 있습니다.
Received: from nowhere by fictitious-site (8.8.3/8.7.2)...
Received: No Information Here, Go Away!

'분석 > 이메일' 카테고리의 다른 글

해킹메일 시나리오  (0) 2023.10.16
이메일 헤더 분석 사이트  (0) 2023.10.16
이메일 헤더 형식  (1) 2023.10.16

해킹메일/스팸메일/악성메일/피싱메일 등 위변조된 이메일을 분석하기위한 기초로 이메일 헤더형식을 알아보겠습니다.

 

◎ Email Headers
> From
회사명이나 회사 직책과 같은 신원이나 이메일 주소를 나타내지만 쉽게 위조될 수 있으며 신뢰성이 가장 낮을 수 있습니다.

> Sender
발신자 이메일 주소입니다. 이 속성을 설정하지 않으면 Sender 이메일 주소는 From 이메일 주소와 동일합니다.

> Subject
이는 보낸 사람이 이메일 제목 줄에 표시한 제목을 나타냅니다.

> Date
이메일 메시지가 작성된 날짜와 시간이 표시됩니다.

> To
이는 메시지가 누구에게 전달되었는지 표시하지만 수신자의 주소를 포함하지 않을 수 있습니다.

> Cc 
이메일 메시지의 추가 수신자 이메일 주소입니다.

> Bcc
이메일 메시지를 받고 있지만 주소가 다른 수신자에게 표시되지 않는 수신자의 이메일 주소(숨은참조)입니다.

> Delivered-To
수신자의 이름과 주소뿐만 아니라 참조 및 숨은 참조에 있는 기타 주소도 표시합니다.

> Deliver-To
배송을 받은 수령인의 주소가 표시됩니다. 배송이 진행되는 동안 Deliver-To 헤더가 추가됩니다.

> Reply-To
답장을 보낼 이메일 주소를 포함하는 선택적 필드입니다.

>: Return-Path
반송 메일의 이메일 주소입니다. 이는 "Reply-To:"과 동일합니다.

> Envelope-To
이 헤더는 이메일 주소가 사서함으로 전달되었음을 보여줍니다.

> Delivery Date
메일 서버나 클라이언트에서 이메일을 받은 날짜와 시간을 표시합니다.

> Received
수신된 내용은 이메일 헤더의 가장 중요한 부분이며 일반적으로 가장 신뢰할 수 있습니다. 이는 메시지가 귀하에게 도달하기 위해 이동한 모든 서버/컴퓨터의 목록을 형성합니다.
수신된 줄은 아래에서 위로 읽는 것이 가장 좋습니다.
즉, 첫 번째 "Received:" 줄은 사용자의 시스템 또는 메일 서버입니다.
마지막 “Received:” 줄은 메일이 시작된 곳입니다.
각 메일 시스템에는 "Received:" 줄이라는 고유한 스타일이 있습니다.
"Received:" 줄은 일반적으로 메일을 받은 서버와 메일을 받은 서버를 식별합니다.

> Dkim-Signature & Domainkey-Signature
이는 이 도메인에 서명된 서버가 실제로 이 메시지를 보냈는지 확인하기 위해 도메인 키 식별자가 검증되었는지 여부를 나타냅니다. 이메일은 디지털 서명으로 서명되며, 이는 보낸 사람 도메인의 DNS 레코드에서 보낸 사람의 공개 키를 확인하여 확인할 수 있습니다.

> PF or Sender Policy Framework
보낸 사람이 도메인을 대신하여 이메일을 보낼 수 있는 호스트를 지정하는 데 사용하는 인증 방법입니다. MTA(메일 전송 에이전트)는 보낸 사람의 DNS 레코드를 확인하여 도메인에서 받은 이메일이 보낸 사람의 DNS 레코드에 나열된 호스트에서 보낸 것인지 확인합니다.

> Message-id
메시지가 처음 생성될 때 메일 시스템에서 할당한 고유 문자열입니다. 여기에는 다양한(약 50개) 문자와 숫자가 포함됩니다.

> Mime-Version
MIME(Multi Purpose Internet Mail Extensions)은 이메일 형식을 확장하는 인터넷 표준 입니다. 메시지를 암호화하기 위해 PGP 서명을 사용하는 S/MIME과 같이 첨부할 수 있는 다양한 MIME 차별화 요소가 있습니다.

> Content-Type
일반적으로 이는 html 또는 일반 텍스트와 같은 메시지 형식을 알려줍니다.

◎ X-Headers
이 필드는 이메일이 인터넷과 내부 네트워크를 통과할 때 이메일 안티 바이러스 스캐너와 같은 보안 장치에 의해 이메일에 추가됩니다. X-헤더는 순서가 맞지 않을 수 있으며 종종 메시지 정보 및 서버 릴레이 헤더 내에서 혼합됩니다. 모든 X-Headers가 모든 경우에 나타나는 것은 아닙니다. 

> X-Spam-Status
서비스 또는 메일 클라이언트에서 생성된 스팸 점수를 표시합니다.

> X-Spam-Level
서비스 또는 메일 클라이언트에서 일반적으로 생성되는 스팸 점수를 표시합니다.

> X-Mailer
이메일을 보내는 데 사용된 이메일 클라이언트 또는 소프트웨어.

> X-Microsoft-Antispam
대량 메일 및 피싱에 대한 추가 정보가 포함되어 있습니다.

> X-Originating-Email
실제 메일을 보낸 사람의 이메일주소입니다.

> X-Originating-IP
실제 메일을 보낸 사람의 PC의 IP 주소입니다.

> X-Priority
이메일의 우선순위를 지정하는 데 사용되는 이메일 사양의 선택적 매개변수입니다.
1(가장 높음), 2(높음), 3(보통), 4(낮음), 5(가장 낮음). 필드가 생략된 경우 3(일반)이 기본값입니다.

> X-OriginalArrivalTime
메시지가 도착하는 시간으로 간주됩니다.

◎ Message Body
이는 보낸 사람이 작성한 이메일 자체의 실제 내용입니다.

'분석 > 이메일' 카테고리의 다른 글

해킹메일 시나리오  (0) 2023.10.16
이메일 헤더 분석 사이트  (0) 2023.10.16
이메일 헤더 분석  (0) 2023.10.16

 

[OWASP TOP 10 2017]

◎ A8. 안전하지 않은 역직렬화(Insecure Deserialization)

종종 원격 코드 실행으로 이어집니다. 역직렬화 취약점이 원격 코드실행 결과를 가져오지 않더라도 이는 권한 상승 공격, 주입 공격과 재생 공격을 포함한 다양한 공격 수행에 사용될 수 있습니다.

 

[OWASP(The Open Web Application Security Project)]

◎ 오픈소스 웹 애플리케이션 보안 프로젝트입니다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표했습니다.
OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년, 2021년을 기준으로 발표되었고, 문서가 공개되었습니다.

 

[JAVA Object Deserialization]

◎ 자바 역직렬화 취약점
안전하지 않은 역직렬화는 신뢰할 수없는 데이터가 애플리케이션의 논리를 악용하거나 서비스 거부 (DoS) 공격을 가하거나 역직렬화 과정에서 악의적으로 객체 또는 변수를 추가 작성하여 악성코드를 실행하는데 사용되는 경우 발생하는 취약점입니다. 또한 OWASP TOP 10 2017 목록에서 8 위를 차지했습니다. OWASP TOP 10 2021 목록에서는 A8. 소프트웨어 및 데이터 무결성 오류(Software and Data Integrity Failures)가 새로 등장했고 이 범주에 이전 자바 역직렬화 취약점을 포함합니다.
 > 직렬화(Serialization) : Java 프로그램에서 특정 Class의 현재 인스턴스 상태를 다른 서버로 전달하기 위해서 그 Class의 인스턴스 정보를 Byte Code로 복사하는 작업입니다. 즉, 메모리상에서 실행되고 있는 객체의 상태를 전송/저장 가능한 데이터로 만드는 것입니다.
 > 역직렬화(Deserialization) : 저장된 Byte Code로부터 객체를 불러오는 작업입니다.
 > 자바 바이트 코드(Java Byte Code) : 자바 가상 머신이 이해할 수 있는 언어로 변환된 자바 소스 코드입니다.

 > 클래스(Class) : 객체(Object)를 코드로 구현한 것으로 연관되어 있는 변수와 메소드의 집합입니다. 사용자 정의 데이터 타입을 만드는 것과 같은 의미입니다.

 > 인스턴스(instance) : 객체(Object), 외부에서 클래스를 자유롭게 호출하기 위해 new 연산자를 사용하여 생성된 객체입니다.
  - 변수명 = new 클래스명(); // 클래스의 객체를 생성 후, 객체의 주소를 참조변수에 저장합니다.
  - new : 클래스 타입의 인스턴스(객체)를 생성해주는 역할을 담당합니다.
 > 메소드(method) : 코드를 재사용할 수 있게 해주는 함수입니다.
  - 정의와 호출 : 직접 메소드를 만드는 것을 정의라고 하고, 만들어진 메소드를 실행하는 것을 호출(전달 된 값은 인자(argument)) 이라고 합니다.
  - 입력과 출력 : 입력 값은 매개변수(parameter)를 통해서 이루어집니다. 들어온 값이 함수 안에서 처리되고 출력을 통해 값을 내보내는 형태입니다.

 

[History of Deserialization]

◎ First Deserialization Vulnerability (CWE-502)

 > CVE-2007-1701

  - 4.4.5 이전의 PHP 4 및 5.2.1 이전의 PHP 5에서 원격코드 실행 취약점

  - CWE(Common Weakness Enummeration) : 소프트웨어나 하드웨어에서 흔하게 발생할 수 있는 다양한 취약점의 원인이 되는 보안 약점 정보이며, 소스코드의 결함을 파악할 때 이용하는 도구의 기준이 되어 개발자는 해당 약점을 제거함으로써 안전한 소프트웨어를 개발할 수 있습니다.
  - CVE(Common Vulnerabilities and Exposures) : 정보보안 취약점 표준 코드의 약자로 공개적으로 알려진 보안 위협에 대한 식별 코드를 뜻합니다.

◎ First “Gadget Based” Vulnerability

 > CVE-2011-2894

  - Spring framework에 대한 원격코드실행 취약점

  - Gadget : 역직렬화 과정에서 호출되어 잠재적인 위험한 동작을 수행하는 메서드를 가젯(gadget) 이라고 합니다.

  - Gadget Chain : 여러개의 가젯을 함께 사용한다는 표현입니다.

'분석 > 취약점' 카테고리의 다른 글

Log4j 보안 취약점 업데이트 및 대응 방안 정리  (0) 2021.12.29

보호나라 Apache Log4j 보안 업데이트 권고 통합/임시대응 방안 및 없는 내용 추가(굵은 글씨) ver.2022.01.21

□ 개요
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
o 공격자는 해당 취약점을 이용하여 악성코드 감염 또는 정상 서비스 중지 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
※ 관련 사항은 참고사이트 [2] 취약점 대응가이드를 참고 바랍니다.
※ 참고 사이트 [3]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용

□ 주요 내용
o Apache Log4j 1.x 에서 발생하는 원격코드 실행 취약점(CVE-2022-23307)[4]
o Apache Log4j 1.x에서 발생하는 SQL Injection 취약점(CVE-2022-23305)[5]
o Apache Log4j 1.x에서 발생하는 원격코드 실행 취약점(CVE-2022-23302)[6]
o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[7]
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-45046)[8]
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44832)[9]
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[10]
o Apache Log4j 1.x에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)[11]
o Apache Log4j 1.x 에서 발생하는 원격코드 실행 취약점(CVE-2020-9493)[12]
o Apache Log4j 1.x, 2에서 발생하는 SMTP 메시지 가로채기(man-in-the-middle) 공격 취약점(CVE-2020-9488)[13]
o Apache Log4j 1.x에서 발생하는 원격코드 실행 취약점(CVE-2019-17571)[14]
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2017-5645)[15]
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

□ 영향을 받는 버전
o CVE-2022-23307 : 원격 코드 실행 취약점 / CVSS 기준 N/A
- 1.x 버전
※ Chainsaw를 사용하지 않는 경우 취약점 영향 없음
o CVE-2022-23305 : SQL Injectin 취약점 / CVSS 기준 N/A
- 1.x 버전
※ JDBCAppender를 사용하지 않는 경우 취약점 영향 없음
o CVE-2022-23302 : 원격 코드 실행 취약점 / CVSS 기준 N/A
- 1.x 버전
JMSSink를 사용하지 않는 경우 취약점 영향 없음
o CVE-2021-45105 : 디도스 공격 취약점 / CVSS 기준 7.5점
- 2.0-alpha1 ~ 2.16.0 버전
※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.3 및 이후 업데이트 버전 제외)
o CVE-2021-45046 : 정보 노출 및 원격 코드 실행 취약점 / CVSS 기준 9.0점
- 2.0-beta9 ~ 2.15.0 버전
※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.2, 2.12.3 및 이후 업데이트 버전 제외)
o CVE-2021-44832 : 임의 코드 실행 취약점 / CVSS 기준 6.6점
- 2.0-beta7 ~ 2.17.0 버전
※ 취약점이 해결된 버전 제외(Log4j 2.3.2, 2.12.4 및 이후 업데이트 버전 제외)
o CVE-2021-44228 : 원격 코드 실행 취약점 / CVSS 기준 10점
- 2.0-beta9 ~ 2.14.1 버전
※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.2, 2.12.3 및 이후 업데이트 버전 제외)
o CVE-2021-4104 : 원격 코드 실행 취약점 / CVSS 기준 8.1점
- 1.x 버전
※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음
o CVE-2020-9493 : 원격 코드 실행 취약점 / CVSS 기준 9.8점
- 1.x 버전
Chainsaw를 사용하지 않는 경우 취약점 영향 없음
o CVE-2020-9488 : SMTP 메시지 가로채기(man-in-the-middle) 공격 / CVSS 기준 3.7점
- 1.x 버전
- 2.0-alpha1 ~ 2.13.2 버전
※ SmtpAppender를 사용하지 않는 경우 취약점 영향 없음
o CVE-2019-17571 : 임의 코드 실행 취약점 / CVSS 기준 9.8점
- 1.x 버전
※ SocketServer를 사용하지 않는 경우 취약점 영향 없음
o CVE-2017-5645 : 임의 코드 실행 취약점 / CVSS 기준 9.8점
- 2.0-alpha1에서 2.8.1 버전
※ SocketServer를 사용하지 않는 경우 취약점 영향 없음

□ 대응방안
o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용[16]
※ 제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요
- CVE-2021-44228, CVE-2021-45046, CVE-2017-5645
· Java 8 이상 : Log4j 2.17.1 이상 버전으로 업데이트
· Java 7 : Log4j 2.12.4 이상 버전으로 업데이트[17]
· Java 6 : Log4j 2.3.2 이상 버전으로 업데이트[17]
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
o 신규 업데이트가 불가능할 경우 아래의 조치방안으로 조치 적용
- 공통 : log4j*.properties 또는 log4j*.xml 또는 log4j*.yaml 또는 log4j*.yml 또는 log4j*.json 또는 log4j*.jsn 설정파일 또는 DefaultConfiguration 내 코드 삭제
- CVE-2021-45105
· PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경
· ${ctx:loginId} 또는 $${ctx:loginId}를 제거
- CVE-2021-44228, CVE-2021-45046, CVE-2021-44832
· JndiLookup, JdbcAppender 클래스를 경로에서 제거

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/appender/db/jdbc/JdbcAppender.class

- CVE-2021-4104, CVE-2019-17571, CVE-2022-23302, CVE-2022-23305
· JMSAppender, SocketServer, JDBCAppender, JMSSink 클래스를 경로에서 제거

zip -q -d log4j-1.*.jar org/apache/log4j/net/JMSAppender.class
zip -q -d log4j-1.*.jar org/apache/log4j/net/SocketServer.class
zip -q -d log4j-1.*.jar org/apache/log4j/net/JMSSink.class
zip -q -d log4j-1.*.jar org/apache/log4j/jdbc/JDBCAppender.class

※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전(2.x) 업데이트 적용 권고
- CVE-2020-9488
· SmtpAppender 클래스를 경로에서 제거

zip -q -d log4j-1.*.jar org/apache/log4j/net/SMTPAppender.class
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/appender/SmtpAppender.class

- CVE-2017-5645
· SocketServer 클래스를 경로에서 제거

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/net/server/AbstractSocketServer.class
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/net/server/TcpSocketServer.class
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/net/server/UdpSocketServer.class

- CVE-2020-9493, CVE-2022-23307
· Apache Chainsaw를 2.1.0이상 버전으로 업데이트
· Chiansaw를 통해 직렬화 된 로그를 읽지 않도록 설정 (※ XMLSocketReceiver로 대체 가능)
· Chainsaw 클래스를 경로에서 제거

zip -q -d log4j-1.*.jar org/apache/logging/log4j/chainsaw/*
또는
zip -q -d log4j-1.*.jar org/apache/log4j/chainsaw/*


□ 탐지정책
o 참고사이트 [2] 취약점 대응 가이드를 참고하여 탐지정책 적용
※ 본 탐지정책은 내부 시스템 환경에 따라 다르게 동작할 수 있으며, 시스템 운영에 영향을 줄 수 있으므로 충분한 검토 후 적용 바랍니다.
※ 공개된 탐지정책(참고사이트 [18])은 우회가능성이 있으므로 지속적인 업데이트가 필요합니다.

□ 참고사이트
[1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html
[2] 취약점 대응 가이드 : https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390
[3] 제조사별 현황 : https://github.com/NCSC-NL/log4shell/tree/main/software
[4-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2022-23307
[4-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23307
[5-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2022-23305
[5-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23305
[6-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2022-23302
[6-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23302
[7-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-45105
[7-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
[8-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-45046
[8-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
[9-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-44832
[9-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832
[10-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-44228
[10-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[11-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2021-4104
[11-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

[12-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2020-9493
[12-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9493
[13-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2020-9488
[13-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9488
[14-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2019-17571
[14-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571
[15-1] 취약점 정보 : https://nvd.nist.gov/vuln/detail/CVE-2017-5645
[15-2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
[16] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
[17] Log4j 2.12.4, 2.3.2 다운로드 : https://archive.apache.org/dist/logging/log4j/
[18] 탐지정책 : https://rules.emergingthreatspro.com/open/suricata-5.0/rules/emerging-exploit.rules

□ 기타(보호나라 원글)
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36397
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389

'분석 > 취약점' 카테고리의 다른 글

자바 역직렬화 취약점(JAVA Object Deserialization)  (0) 2021.12.30

+ Recent posts