초고위험도 취약점 발견된 젠킨스 서버, 아직 패치되지 않은 채 사용되는 경우가 다수
인터넷에 노출된 젠킨스(Jenkins) 서버 약 4만 5천 대가 취약점 익스플로잇 공격에 노출되어 있다. 문제의 취약점은 CVE-2024-23897로, 젠킨스 명령행 인터페이스에서 발견됐다. 익스플로잇에 성공할
m.boannews.com
젠킨스 서버
인터넷에 노출된 젠킨스(Jenkins) 서버 약 4만 5천 대가 취약점 익스플로잇 공격에 노출되어 있다. 문제의 취약점은 CVE-2024-23897로, 젠킨스 명령행 인터페이스에서 발견됐다. 익스플로잇에 성공할 경우 원격 코드 실행 공격을 실행할 수 있게 된다. 젠킨스 관리 팀은 1월 24일자로 새 버전을 발표해 문제를 해결했지만 실제 패치 적용 속도는 한참 느리다.
개념 증명용 익스플로잇 대거 등장
패치가 개발된 이후 지금까지 인터넷 상에는 개념 증명용 익스플로잇 코드가 대거 등장했다. 그런 가운데 1월 29일, 비영리 단체 셰도우서버(ShadowServer)는 4만 5천 대가 넘는 젠킨스 서버가 취약한 상황이라고 발표했으며, 이들 대부분 미국과 중국에 있다고 경고했다.
젠킨스는 개발자들 사이에서 인기 높은 플랫폼으로, 각종 애플리케이션을 만들고, 실험하고, 구축하는 데에 활용된다. 지속적 통합(CI)과 지속적 구축(CD) 환경에 적합하고, 실제로 그런 환경에서 많이 사용된다.
CVE-2024-23897 취약점의 경우 젠킨스 2.441 및 이전 버전과 젠킨스 LTS 2.426.2 및 이전 버전에서 발견되고 있다. 디폴트로 활성화 되어 있는 명령행 인터페이스 내에 존재한다. “익스플로잇에 성공한 공격자들은 젠킨스 제어 파일 시스템에 있는 파일들을 아무거나 읽을 수 있게 됩니다. 적절한 권한이 없더라도 파일의 첫 몇 줄을 읽을 수는 있습니다. 즉 어느 정도의 정보 탈취 공격을 실행할 수 있는 게 이 취약점의 첫 번째 특징이라고 할 수 있습니다.” 젠킨스 관리 팀의 설명이다.
원격 코드 실행으로 이어져
파일을 열람하다보면 꽤나 중요한 정보에 접근하는 게 가능하다. “예를 들어 크리덴셜 저장소나 아티팩트 서명, 암호화와 복호화 등에 사용되는 암호화 키가 저장되어 있는 파일을 열람할 수 있게 된다면 어떻게 될까요? 다양한 종류의 공격이 가능하게 됩니다. 원격 코드 실행 공격도 그 중 하나지요. 리멤버미(Remember me) 쿠키를 통한 원격 코드 실행 공격, XSS 기법을 통한 원격 코드 실행 공격, CSRF를 통한 원격 실행 코드 공격 등 세분화 된 공격들도 가능합니다.”이 취약점을 제일 먼저 발견한 보안 업체 소나소스(SonarSource)의 보안 연구원 야니브 니즈리(Yaniv Nizry)의 경우에도 이러한 공격의 위험성을 파악하고 젠킨스 관리자 측에 알렸다고 한다. 또한 여러 보안 전문가들이 개념 증명용 코드를 바삐 발표하고 있다는 것도 파악한 상황이라고 한다. “이 취약점은 권한을 높이지 않아도 익스플로잇 할 수 있고, 취약한 시스템을 찾는 것도 쉬워서 공격자들이나 연구원들이나 한 번쯤 건들여보고 싶을 수밖에 없습니다. 물론 익스플로잇을 이어가서 보다 심도 깊은 공격으로 진행하려면 젠킨스에 대한 깊은 이해가 필요하긴 합니다. 따라서 공격이 쉽냐 어렵냐는 공격을 어디까지 이어가고자 하는가 하는 공격자의 의도에 따라 달라집니다.”
젠킨스 2.442와 젠킨스 LTS 2.426.3 버전의 경우 CVE-2024-23897 취약점이 존재하지 않는다. 따라서 젠킨스를 사용하는 조직들은 해당 버전으로 업그레이드 하는 것이 안전하다. 만약 즉각적인 업그레이드가 불가능한 상황이라면 CLI 접근 기능을 비활성화 하는 게 그나마 낫다고 젠킨스 팀은 권고한다.
즉각적인 패치 필요
젠킨스 서버에는 민감한 정보들이 저장되는 경우가 많기 때문에 이번 패치는 더더욱 중요하다. “바로 지난 해에 150만 명의 개인정보가 포함되어 있는 젠킨스 서버가 발견되어 문제가 되기도 했었죠. 젠킨스 서버는 광범위하게 사용된다는 것을 기억해야 하고, 기업들마다 확인에 나서야 합니다. 한 조직의 피해로만 끝나지 않고 여러 개인들로 피해가 확산될 가능성이 높기 때문입니다.”
느낀점
: 취약점은 정말 끝도 없이 발견되는 것 같다. 해당 업체에서 신속하게 대처하고 사용자들도 패치 내용을 빨리빨리 적용하는 게 무엇보다 중요한 듯 하다.
'기술 스터디 & 뉴스 스크랩' 카테고리의 다른 글
| [뉴스 스크랩] 보안뉴스_애플, 양자컴퓨터 시대에 10년 이르게 대비해 아이메시지 보호 (0) | 2024.02.27 |
|---|---|
| [기술 스터디] 삼성 SDS_기업들의 생성형 AI 개발, 현재는? (0) | 2024.02.20 |
| [뉴스 스크랩] 보안뉴스_벡스트리오, 어쩌면 가장 거대한 사이버 공격 인프라 운영자들 (2) | 2024.01.25 |
| [기술 스터디] 삼성 SDS_2024년 IT 전망 보고서 (1) | 2024.01.23 |
| [뉴스 스크랩] 보안뉴스_크리덴셜 스터핑, 전체 보호 대상 트래픽의 19.4% 차지 (0) | 2024.01.10 |