[KISA] 캐슬 Log4j 취약점 관련 CRS Rule 업데이트

제목 : [KISA] 캐슬 Log4j 취약점 관련 CRS Rule 업데이트

 

 

 

소스 :

 

내용 :

 

안녕하세요. 한국인터넷진흥원입니다.

 

최근 Apache 소프트웨어 Log4j 2에서 발생하는 취약점을 악용한 공격이 발생하고 있어 캐슬 이용자 대상 정책 업데이트 사항 안내드립니다.

 

※ 용어설명

Log4j는 Java/Kotlin/Scala/Groovy 코딩 도중에 프로그램의 로그를 기록해주는 라이브러리로, 이클립스, 

IntelliJ IDEA, 안드로이드 스튜디오 등에 추가해서 프로그램 실행 시 자동으로 지정한 경로에 로그를 저장해주는 기능을 한다.

 

o Log4j 취약점 관련 CRS Rule 업데이트 추가

 

 - CRS Rule 업데이트 절차 : 서버리스트 -> USER 정책(CRS) -> 아래 CRS Rule 복사/붙혀넣기 -> 적용

 

※ 관련 문의사항 : 02-405-5617

 

 

[CRS Rule] 한칸 아래부터 복사하여 사용

SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \$\{jndi\:"\

    "msg:'Generic Apache Log4J RCE Attempt', \

    phase:request,\

    rev:'1',\

    capture,log,deny,\

    id:111111"

SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \$\{jndi\:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[\/]?[^\n]+"\

    "msg:'Specific Apache Log4J RCE Attempt', \

    phase:request,\

    rev:'1',\

    capture,log,deny,\

    id:111112"

SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \$\{jndi\:\${(lower|upper)\:"\

    "msg:'Log4J RCE WAF Bypass Attempt (1)', \

    phase:request,\

    rev:'1',\

    capture,log,deny,\

    id:111113"

SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \${\:\:-j}\${"\

    "msg:'Log4J RCE WAF Bypass Attempt (2)', \

    phase:request,\

    rev:'1',\

    capture,log,deny,\

    id:111114"

SecRule REQUEST_HEADERS|REQUEST_LINE "@rx (?i)\${[\w${}\-:]*j[\w${}\-:]*n[\w${}\-:]*d[\w${}\-:]*i[\w${}\-:]*:.*}"\

    "msg:'Log4J RCE WAF Bypass Attempt (3)', \

    phase:request,\

    ver:'OWASP_CRS/3.0.0',\

    rev:'1',\

    capture,log,deny,\

    id:111115"

SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx (?:\$(?:\((?:\(.*\)|.*)\)|\{.*})|[<>]\(.*\))" \

  "id:111115,\

  phase:2,\

  block,\

  capture,deny,log,\

  t:none,t:cmdLine,\

  msg:'Remote Command Execution: Unix Shell Expression Found',\

  logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\

  tag:'application-multi',\

  tag:'language-shell',\

  tag:'platform-unix',\

  tag:'attack-rce',\

  tag:'paranoia-level/1',\

  tag:'OWASP_CRS',\

  tag:'capec/1000/152/248/88',\

  tag:'PCI/6.5.2',\

  ctl:auditLogParts=+E,\

  ver:'OWASP_CRS/3.4.0-dev',\

  severity:'CRITICAL',\

  setvar:'tx.rce_score=+%{tx.critical_anomaly_score}',\

  setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}'"

 

 

 

 

 

 

예제 소스 파일 :

 

 출처 : [KISA] 메일 공지