취약점 공격으로 백도어 설치, 랜섬웨어 감염, 해킹 경유지 악용 등 피해 입을 수 있어
버전 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 또는 7.18.1로 업그레이드 해야
[보안뉴스 기획취재팀] 최근 아틀라시안 컨플루언스(Atlassian Confluence) 플랫폼에서 발견된 취약점(CVE-2022-26134)을 이용한 공격이 잇따라 포착돼 이용자들의 각별한 주의가 요구되고 있다.
[이미지=utoimage]
아틀라시안 컨플루언스는 전 세계 수백만 사용자가 사용하는 아틀라시안에서 개발한 위키 기반의 소프트웨어 협업 플랫폼이다. 팀 또는 회사 내에서 개발·생산하는 다양한 지식, 정보 데이터들이 컨플루언스에 등록되고, 임직원들은 이러한 정보를 공유하고 협업할 수 있다.
영남이공대학교 사이버보안연구센터 측은 “일반적으로 회사 핵심기술이 저장되는 경우가 많아 정보탈취를 목적으로 한 공격 시도가 늘어나고 있다”며 “해당 취약점은 현재 컨플루언스 서버 앤 데이터센터(Confluence Server and Data Center)의 6.13.23 이전 버전, 6.14.0~7.4.x 버전, 7.5.0 ~ 7.11.x 버전, 7.12.x 버전에 존재하며, 취약점 공격에 성공할 경우 코드 실행, 웹쉘 업로드 등의 공격이 가능하다”고 설명했다.
특히, 쇼단(Shodan) 사이트를 검색한 결과, 전 세계적으로 12,066대, 국내에서도 179대의 취약한 서버가 존재하는 것으로 확인됐다. 하지만 솔루션 특성상 내부망에서 운영하는 경우도 많아 실제 취약한 시스템은 이보다 더 많을 것으로 예상된다.
탐지된 공격코드는 취약점이 존재할 경우 공격자의 서버로 취약 시스템의 IP가 전송되는데, 이는 취약점의 존재 유무를 확인하기 위한 스캔 공격으로 영남이공대 사이버연구센터는 추정했다.
또한, 컨플루언스 시스템을 임의로 구성해 공격을 재현해본 결과 취약한 시스템에서는 X-Cmd-Response 헤더가 생성됐으며, 패치된 시스템에서는 생성되지 않는 것으로 확인됐다. 이를 통해 공격의 성공 유무를 판단할 수 있다.
현재는 아틀라시안 컨플루언스 소프트웨어 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1 버전은 취약점이 패치된 상태이므로 이용자는 반드시 업그레이드를 해야 한다.
▲pwd 명령어를 이용한 공격 결과 화면[자료=영남이공대 사이버보안연구센터]
영남이공대 사이버보안연구센터 김수현, 김현수 연구원은 “취약점이 공개된 지 일주일도 지나지 않았는데, 본격적인 공격이 시작되는 것 같다”면서, “취약한 버전의 컨플루언스를 사용하고 있는 경우 보안 패치를 즉시 적용해야 하며, 특히 인터넷에 연결된 경우 인터넷 접속을 보안 패치 전까지 차단하는 등 추가적인 보안조치도 필요하다”고 권고했다.
또한, 사이버보안연구센터 이종락 센터장은 “쇼단에 검색되는 서버의 대부분이 아직 패치를 완료하지 않아 공격에 노출되어 있다”며, “이러한 공격으로 인해 백도어 설치, 랜섬웨어 감염, 해킹 경유지 악용 등의 피해를 일으킬 수 있으므로 각별히 조심해야 한다”고 당부했다.
[기획취재팀(boan3@boannews.com)]
버전 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 또는 7.18.1로 업그레이드 해야
[보안뉴스 기획취재팀] 최근 아틀라시안 컨플루언스(Atlassian Confluence) 플랫폼에서 발견된 취약점(CVE-2022-26134)을 이용한 공격이 잇따라 포착돼 이용자들의 각별한 주의가 요구되고 있다.
[이미지=utoimage]
아틀라시안 컨플루언스는 전 세계 수백만 사용자가 사용하는 아틀라시안에서 개발한 위키 기반의 소프트웨어 협업 플랫폼이다. 팀 또는 회사 내에서 개발·생산하는 다양한 지식, 정보 데이터들이 컨플루언스에 등록되고, 임직원들은 이러한 정보를 공유하고 협업할 수 있다.
영남이공대학교 사이버보안연구센터 측은 “일반적으로 회사 핵심기술이 저장되는 경우가 많아 정보탈취를 목적으로 한 공격 시도가 늘어나고 있다”며 “해당 취약점은 현재 컨플루언스 서버 앤 데이터센터(Confluence Server and Data Center)의 6.13.23 이전 버전, 6.14.0~7.4.x 버전, 7.5.0 ~ 7.11.x 버전, 7.12.x 버전에 존재하며, 취약점 공격에 성공할 경우 코드 실행, 웹쉘 업로드 등의 공격이 가능하다”고 설명했다.
특히, 쇼단(Shodan) 사이트를 검색한 결과, 전 세계적으로 12,066대, 국내에서도 179대의 취약한 서버가 존재하는 것으로 확인됐다. 하지만 솔루션 특성상 내부망에서 운영하는 경우도 많아 실제 취약한 시스템은 이보다 더 많을 것으로 예상된다.
탐지된 공격코드는 취약점이 존재할 경우 공격자의 서버로 취약 시스템의 IP가 전송되는데, 이는 취약점의 존재 유무를 확인하기 위한 스캔 공격으로 영남이공대 사이버연구센터는 추정했다.
또한, 컨플루언스 시스템을 임의로 구성해 공격을 재현해본 결과 취약한 시스템에서는 X-Cmd-Response 헤더가 생성됐으며, 패치된 시스템에서는 생성되지 않는 것으로 확인됐다. 이를 통해 공격의 성공 유무를 판단할 수 있다.
현재는 아틀라시안 컨플루언스 소프트웨어 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1 버전은 취약점이 패치된 상태이므로 이용자는 반드시 업그레이드를 해야 한다.
▲pwd 명령어를 이용한 공격 결과 화면[자료=영남이공대 사이버보안연구센터]
영남이공대 사이버보안연구센터 김수현, 김현수 연구원은 “취약점이 공개된 지 일주일도 지나지 않았는데, 본격적인 공격이 시작되는 것 같다”면서, “취약한 버전의 컨플루언스를 사용하고 있는 경우 보안 패치를 즉시 적용해야 하며, 특히 인터넷에 연결된 경우 인터넷 접속을 보안 패치 전까지 차단하는 등 추가적인 보안조치도 필요하다”고 권고했다.
또한, 사이버보안연구센터 이종락 센터장은 “쇼단에 검색되는 서버의 대부분이 아직 패치를 완료하지 않아 공격에 노출되어 있다”며, “이러한 공격으로 인해 백도어 설치, 랜섬웨어 감염, 해킹 경유지 악용 등의 피해를 일으킬 수 있으므로 각별히 조심해야 한다”고 당부했다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
