임의 파일을 읽을 수 있게 해주는 취약점이 젠킨스 서버에서 발견됐다. 그런데 이 취약점을 응용하면 더 위험한 공격까지 진행할 수 있게 된다. 따라서 시급한 패치가 요구되고 있다.
[보안뉴스 문가용 기자] 인터넷에 노출된 젠킨스(Jenkins) 서버 약 4만 5천 대가 취약점 익스플로잇 공격에 노출되어 있다. 문제의 취약점은 CVE-2024-23897로, 젠킨스 명령행 인터페이스에서 발견됐다. 익스플로잇에 성공할 경우 원격 코드 실행 공격을 실행할 수 있게 된다. 젠킨스 관리 팀은 1월 24일자로 새 버전을 발표해 문제를 해결했지만 실제 패치 적용 속도는 한참 느리다.
[이미지 = gettyimagesbank]
개념 증명용 익스플로잇 대거 등장
패치가 개발된 이후 지금까지 인터넷 상에는 개념 증명용 익스플로잇 코드가 대거 등장했다. 당연하다는 듯이 공격자들이 이 익스플로잇 코드를 가져가 응용하기 시작했고, 실제 공격 시도 정황도 하나 둘 드러나는 상황이다. 그런 가운데 1월 29일, 비영리 단체 셰도우서버(ShadowServer)는 4만 5천 대가 넘는 젠킨스 서버가 취약한 상황이라고 발표했으며, 이들 대부분 미국과 중국에 있다고 경고했다.
젠킨스는 개발자들 사이에서 인기 높은 플랫폼으로, 각종 애플리케이션을 만들고, 실험하고, 구축하는 데에 활용된다. 젠킨스를 사용할 경우 소프트웨어의 개발부터 배포까지 진행되는 동안 일부 실험을 위한 작업, 코드 품질 검사, 보안 스캔 등 반복적인 단순 업무를 자동화로 처리할 수 있다. 지속적 통합(CI)과 지속적 구축(CD) 환경에 적합하고, 실제로 그런 환경에서 많이 사용된다.
CVE-2024-23897 취약점의 경우 젠킨스 2.441 및 이전 버전과 젠킨스 LTS 2.426.2 및 이전 버전에서 발견되고 있다. 디폴트로 활성화 되어 있는 명령행 인터페이스 내에 존재한다. “익스플로잇에 성공한 공격자들은 젠킨스 제어 파일 시스템에 있는 파일들을 아무거나 읽을 수 있게 됩니다. 적절한 권한이 없더라도 파일의 첫 몇 줄을 읽을 수는 있습니다. 즉 어느 정도의 정보 탈취 공격을 실행할 수 있는 게 이 취약점의 첫 번째 특징이라고 할 수 있습니다.” 젠킨스 관리 팀의 설명이다.
원격 코드 실행으로 이어져
파일을 열람하다보면 꽤나 중요한 정보에 접근하는 게 가능하다. “예를 들어 크리덴셜 저장소나 아티팩트 서명, 암호화와 복호화 등에 사용되는 암호화 키가 저장되어 있는 파일을 열람할 수 있게 된다면 어떻게 될까요? 다양한 종류의 공격이 가능하게 됩니다. 원격 코드 실행 공격도 그 중 하나지요. 리멤버미(Remember me) 쿠키를 통한 원격 코드 실행 공격, XSS 기법을 통한 원격 코드 실행 공격, CSRF를 통한 원격 실행 코드 공격 등 세분화 된 공격들도 가능합니다.”
이 취약점을 제일 먼저 발견한 보안 업체 소나소스(SonarSource)의 보안 연구원 야니브 니즈리(Yaniv Nizry)의 경우에도 이러한 공격의 위험성을 파악하고 젠킨스 관리자 측에 알렸다고 한다. 또한 여러 보안 전문가들이 개념 증명용 코드를 바삐 발표하고 있다는 것도 파악한 상황이라고 한다. “이 취약점은 권한을 높이지 않아도 익스플로잇 할 수 있고, 취약한 시스템을 찾는 것도 쉬워서 공격자들이나 연구원들이나 한 번쯤 건들여보고 싶을 수밖에 없습니다. 물론 익스플로잇을 이어가서 보다 심도 깊은 공격으로 진행하려면 젠킨스에 대한 깊은 이해가 필요하긴 합니다. 따라서 공격이 쉽냐 어렵냐는 공격을 어디까지 이어가고자 하는가 하는 공격자의 의도에 따라 달라집니다.”
젠킨스 2.442와 젠킨스 LTS 2.426.3 버전의 경우 CVE-2024-23897 취약점이 존재하지 않는다. 따라서 젠킨스를 사용하는 조직들은 해당 버전으로 업그레이드 하는 것이 안전하다. 만약 즉각적인 업그레이드가 불가능한 상황이라면 CLI 접근 기능을 비활성화 하는 게 그나마 낫다고 젠킨스 팀은 권고한다.
즉각적인 패치 필요
보안 업체 크리티컬스타트(Critical Start)의 수석 연구원인 사라 존스(Sarah Jones)는 “젠킨스를 사용하고, 젠킨스에 대한 관심이 높은 조직이라면 이 취약점을 간과할 수 없다”고 강조한다. “공격자들은 이 취약점을 통해 데이터 탈취 정도는 간단히 수행할 수 있습니다. 실력이 조금 더 좋으면 그 외에도 다양한 공격을 할 수 있게 됩니다. 그냥 무시하기에는 리스크가 지나치게 큽니다.”
젠킨스 서버에는 민감한 정보들이 저장되는 경우가 많기 때문에 이번 패치는 더더욱 중요하다고 존스는 힘주어 말한다. “바로 지난 해에 150만 명의 개인정보가 포함되어 있는 젠킨스 서버가 발견되어 문제가 되기도 했었죠. 젠킨스 서버는 광범위하게 사용된다는 것을 기억해야 하고, 기업들마다 확인에 나서야 합니다. 한 조직의 피해로만 끝나지 않고 여러 개인들로 피해가 확산될 가능성이 높기 때문입니다.”
3줄 요약
1. 얼마 전에 제로데이 취약점 발견된 젠킨스 서버.
2. 개념 증명용 익스플로잇 코드가 활발하게 개발되고 있어 문제.
3. 젠킨스는 광범위하게 사용되고 있어 누구나 한 번쯤 패치 여부 확인하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 인터넷에 노출된 젠킨스(Jenkins) 서버 약 4만 5천 대가 취약점 익스플로잇 공격에 노출되어 있다. 문제의 취약점은 CVE-2024-23897로, 젠킨스 명령행 인터페이스에서 발견됐다. 익스플로잇에 성공할 경우 원격 코드 실행 공격을 실행할 수 있게 된다. 젠킨스 관리 팀은 1월 24일자로 새 버전을 발표해 문제를 해결했지만 실제 패치 적용 속도는 한참 느리다.
[이미지 = gettyimagesbank]
개념 증명용 익스플로잇 대거 등장
패치가 개발된 이후 지금까지 인터넷 상에는 개념 증명용 익스플로잇 코드가 대거 등장했다. 당연하다는 듯이 공격자들이 이 익스플로잇 코드를 가져가 응용하기 시작했고, 실제 공격 시도 정황도 하나 둘 드러나는 상황이다. 그런 가운데 1월 29일, 비영리 단체 셰도우서버(ShadowServer)는 4만 5천 대가 넘는 젠킨스 서버가 취약한 상황이라고 발표했으며, 이들 대부분 미국과 중국에 있다고 경고했다.
젠킨스는 개발자들 사이에서 인기 높은 플랫폼으로, 각종 애플리케이션을 만들고, 실험하고, 구축하는 데에 활용된다. 젠킨스를 사용할 경우 소프트웨어의 개발부터 배포까지 진행되는 동안 일부 실험을 위한 작업, 코드 품질 검사, 보안 스캔 등 반복적인 단순 업무를 자동화로 처리할 수 있다. 지속적 통합(CI)과 지속적 구축(CD) 환경에 적합하고, 실제로 그런 환경에서 많이 사용된다.
CVE-2024-23897 취약점의 경우 젠킨스 2.441 및 이전 버전과 젠킨스 LTS 2.426.2 및 이전 버전에서 발견되고 있다. 디폴트로 활성화 되어 있는 명령행 인터페이스 내에 존재한다. “익스플로잇에 성공한 공격자들은 젠킨스 제어 파일 시스템에 있는 파일들을 아무거나 읽을 수 있게 됩니다. 적절한 권한이 없더라도 파일의 첫 몇 줄을 읽을 수는 있습니다. 즉 어느 정도의 정보 탈취 공격을 실행할 수 있는 게 이 취약점의 첫 번째 특징이라고 할 수 있습니다.” 젠킨스 관리 팀의 설명이다.
원격 코드 실행으로 이어져
파일을 열람하다보면 꽤나 중요한 정보에 접근하는 게 가능하다. “예를 들어 크리덴셜 저장소나 아티팩트 서명, 암호화와 복호화 등에 사용되는 암호화 키가 저장되어 있는 파일을 열람할 수 있게 된다면 어떻게 될까요? 다양한 종류의 공격이 가능하게 됩니다. 원격 코드 실행 공격도 그 중 하나지요. 리멤버미(Remember me) 쿠키를 통한 원격 코드 실행 공격, XSS 기법을 통한 원격 코드 실행 공격, CSRF를 통한 원격 실행 코드 공격 등 세분화 된 공격들도 가능합니다.”
이 취약점을 제일 먼저 발견한 보안 업체 소나소스(SonarSource)의 보안 연구원 야니브 니즈리(Yaniv Nizry)의 경우에도 이러한 공격의 위험성을 파악하고 젠킨스 관리자 측에 알렸다고 한다. 또한 여러 보안 전문가들이 개념 증명용 코드를 바삐 발표하고 있다는 것도 파악한 상황이라고 한다. “이 취약점은 권한을 높이지 않아도 익스플로잇 할 수 있고, 취약한 시스템을 찾는 것도 쉬워서 공격자들이나 연구원들이나 한 번쯤 건들여보고 싶을 수밖에 없습니다. 물론 익스플로잇을 이어가서 보다 심도 깊은 공격으로 진행하려면 젠킨스에 대한 깊은 이해가 필요하긴 합니다. 따라서 공격이 쉽냐 어렵냐는 공격을 어디까지 이어가고자 하는가 하는 공격자의 의도에 따라 달라집니다.”
젠킨스 2.442와 젠킨스 LTS 2.426.3 버전의 경우 CVE-2024-23897 취약점이 존재하지 않는다. 따라서 젠킨스를 사용하는 조직들은 해당 버전으로 업그레이드 하는 것이 안전하다. 만약 즉각적인 업그레이드가 불가능한 상황이라면 CLI 접근 기능을 비활성화 하는 게 그나마 낫다고 젠킨스 팀은 권고한다.
즉각적인 패치 필요
보안 업체 크리티컬스타트(Critical Start)의 수석 연구원인 사라 존스(Sarah Jones)는 “젠킨스를 사용하고, 젠킨스에 대한 관심이 높은 조직이라면 이 취약점을 간과할 수 없다”고 강조한다. “공격자들은 이 취약점을 통해 데이터 탈취 정도는 간단히 수행할 수 있습니다. 실력이 조금 더 좋으면 그 외에도 다양한 공격을 할 수 있게 됩니다. 그냥 무시하기에는 리스크가 지나치게 큽니다.”
젠킨스 서버에는 민감한 정보들이 저장되는 경우가 많기 때문에 이번 패치는 더더욱 중요하다고 존스는 힘주어 말한다. “바로 지난 해에 150만 명의 개인정보가 포함되어 있는 젠킨스 서버가 발견되어 문제가 되기도 했었죠. 젠킨스 서버는 광범위하게 사용된다는 것을 기억해야 하고, 기업들마다 확인에 나서야 합니다. 한 조직의 피해로만 끝나지 않고 여러 개인들로 피해가 확산될 가능성이 높기 때문입니다.”
3줄 요약
1. 얼마 전에 제로데이 취약점 발견된 젠킨스 서버.
2. 개념 증명용 익스플로잇 코드가 활발하게 개발되고 있어 문제.
3. 젠킨스는 광범위하게 사용되고 있어 누구나 한 번쯤 패치 여부 확인하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
