이 보안 자문은 Apache Log4j 취약성(CVE-2021-44228)이 Zendesk 서비스에 어떻게 영향을 미치는지에 대한 업데이트를 고객에게 제공합니다. 일부 매체에서는 이 취약성을 Log4Shell이라도 합니다.

2021년 12월 23일, 상태 업데이트: Zendesk는 당사 제품 환경에서 이 취약성의 알려진 인스턴스를 완화했습니다.

이 취약성이란 무엇인가요?

널리 사용되는 Java 로깅 라이브러리인 Log4j에서 RCE(원격 코드 실행) 취약성이 발견되었습니다. 업계 전반에서 발견되는 이 보안 취약성으로 인해 인증되지 않은 공격자가 특정 제작된 콘텐츠를 제공하여 이 라이브러리가 배포된 시스템에서 코드를 실행할 수 있습니다. 이는 많은 소프트웨어 제품 및 온라인 서비스에 영향을 미치는 심각한 취약성입니다.

이 취약성이 Zendesk에 어떤 영향을 미치나요?

Zendesk는 자사 제품에 Apache Log4j를 활용합니다. 이 취약성은 2021년 12월 9일 목요일에 발견되었습니다.  Zendesk는 이 취약성의 알려진 인스턴스를 완화했으며 이 문제를 계속 적극적으로 모니터링하고 있습니다.

이에 대응하여 인시던트 대응 프로세스를 활성화하고 Zendesk 제품 전반에서 Log4j 사용을 즉시 조사했으며, 그 결과는 다음과 같습니다.

• 모든 제품에서 모든 Log4j 배포를 확인 및 분류하여 당사 시스템에 벤더가 제공하는 업데이트 또는 추천 완화 기능을 구현했습니다.
• Zendesk는 노력해 왔으며 새로운 정보가 발생하면 하위 프로세서 및 중요 벤더와 계속 협력하여 의존할 수 있는 환경의 모든 취약성을 해결할 수 있도록 할 것입니다.

또한 악의적인 악용을 차단하는 규칙을 배포하여 이 취약성을 완화했습니다. 하지만 이러한 규칙이 100% 효과적인 것은 아니며 완화의 2차 수준에 불과합니다.

현재 Zendesk 제품에서 Log4j 사용에 대한 조사가 완료되었으며, 당사 보안 팀은 정기적인 보안 모니터링 및 패치 관리 구현의 일환으로 Log4j와 관련된 보안 문제를 계속 추적하고 있습니다.

 

Zendesk에서 CVE-2021-45046 및 CVE-2021-45105에 대해 조사했나요?

이 취약성에 대한 대응의 일환으로 Log4j에서 CVE-2021-45046 및 CVE-2021-45105도 조사했습니다. 위험 평가를 수행하고 상당한 위험에 노출된 경우 조치를 취했습니다. 참고로 CVE-2021-45105는 대부분의 구성에 영향을 미치지 않는 DoS(서비스 거부) 취약성입니다.

어떤 조치를 취해야 하나요?

• Zendesk 서비스 사용자는 현재 어떤 조치도 취할 필요가 없습니다.
• Professional 서비스 계약에 따라 개발된 사용자 지정 제품의 사용자는 일반적으로 자신의 보안 업데이트에 대한 책임이 있지만, 적절하게 계약을 검토하고 Log4j 구성 요소의 사용을 확인해야 합니다.

또한 귀사에서 개발했거나 배포한 모든 사용자 지정 앱 또는 연동 서비스에서 Zendesk 제품과 함께 Apache log4j 로깅 라이브러리의 자체 사용을 평가해 보시기 바랍니다. 

취약한 버전의 사용이 확인되면 Apache Software Foundation에서 제공하는 수정 버전으로 업그레이드하거나 벤더가 권장하는 완화 방법을 구현하는 것이 좋습니다.

 

어디에서 자세한 정보를 찾을 수 있나요?

이 취약성에 대한 추가 정보는 다음에서 확인하세요.

• Apache Software Foundation: Apache Log4j 보안 취약성
• 국가별 취약성 데이터베이스: CVE-2021-44228