미국 사이버 보안 및 인프라 보안국, 앱 하드 코딩된 자격 증명 취약점 경고
Atlassian 제품 취약점, 인증되지 않은 원격 공격자가 Confluence에 로그인
[보안뉴스 기획취재팀] 미국 사이버 보안 및 인프라 보안국(CISA)이 앱 하드 코딩된 자격 증명 취약점인 CVE-2022-26318을 ‘알려진 악용된 취약점(Known Exploited Vulnerabilities)’ 카달로그에 추가했다. ‘알려진 악용 취약점’ 카탈로그란 CISA가 악용 되는 것으로 식별했거나 실제 공격자가 사용한 취약점 목록이다.
▲CVE-2022-26318 취약점 관련해 업데이트 안내 화면[이미지=confluence 사이트]
이번에 추가된 CVE-2022-26318 취약점은 Confluence 서버 및 데이터 센터용 Atlassian Questions For Confluence 앱에 사용자 이름 disabledsystemuser와 하드코딩된 비밀번호를 사용해 confluence-users 그룹에 Confluence 사용자 계정을 생성한다. 그런데 하드코딩된 암호를 알고 있는 인증되지 않은 원격 공격자가 이를 악용해 Confluence에 로그인하고 confluence-users 그룹의 사용자가 접근할 수 있는 모든 콘텐츠에 접근할 수 있다.
또한, Atlassian은 CVE-2022-26318 외에도 CVE-2022-26136과 CVE-2022-26137을 발표했다. CVE-2022-26136은 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 자사 및 타사 앱에서 사용하는 서블릿 필터를 우회할 수 있다. 영향은 각 앱에서 사용하는 필터와 필터 사용 방법에 따라 다르지만 해당 취약점으로 인해 인증 우회 및 사이트 간 스크립팅이 발생할 수 있다.
CVE-2022-26137도 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 애플리케이션이 요청 또는 응답을 처리할 때 추가 서블릿 필터가 호출되도록 할 수 있다. 특수하게 조작된 HTTP 요청을 보내면 CORS 요청에 응답하는 데 사용되는 서블릿 필터가 호출되어 CORS 우회가 발생할 수 있다. 사용자를 속여 악성 URL을 요청하도록 할 수 있는 공격자는 피해자의 권한으로 취약한 애플리케이션에 액세스할 수 있다.
이에 대해 이스트시큐리티는 1일 취약점 주의에 대해 안내하며 “해당 취약점은 이미 패치가 공개되어 취약한 버전을 사용하는 사용자의 경우 빠른 패치를 해야 한다”고 권고했다.
영향받는 버전은 다음과 같다.
하드코딩된 비밀번호(CVE-2022-26318)
△Questions For Confluence :
-2.7.34, 2.7.35, 3.0.2 버전
다중 서플릿 필터 취약점(CVE-2022-26136 , CVE-2022-26137)
△Bamboo Server, Bamboo Data Center :
-7.2.9 미만 버전
-8.0.x ~ 8.0.9 미만 버전
-8.1.x ~ 8.1.8 미만 버전
-8.2.x ~ 8.2.4 미만 버전
△Bitbucket Server, Bitbucket Data Center :
- 7.6.16 미만 버전
- 7.7.x ~ 7.16.x 모든 버전
- 7.17.x ~ 7.17.8 미만 버전
- 7.18.x 모든 버전
- 7.19.x ~ 7.19.5 미만 버전
- 7.20.x ~ 7.20.2 미만 버전
- 7.21.x ~ 7.21.2 미만 버전
- 8.0.0 버전
- 8.1.0 버전
△Confluence Server, Confluence Data Center :
-7.4.17 미만 버전
-7.5.x ~ 7.12.x 모든 버전
-7.13.x ~ 7.13.7 미만 버전
-7.14.x ~ 7.14.3 미만 버전
-7.15.x ~ 7.15.2 미만 버전
-7.16.x ~ 7.16.4 미만 버전
-7.17.x ~ 7.17.4 미만 버전
-7.18.0 버전
△Crowd Server, Crowd Data Center :
-4.3.8 미만 버전
-4.4.x ~ 4.4.2 미만 버전
-5.0.0 버전
△Crucible, Fisheye :
-4.8.10 미만 버전
△Jira Core Server, Jira Software Server, Jira Software Data Center :
-8.13.22 미만 버전
-8.14.x ~ 8.19.x 모든 버전
-8.20.x ~ 8.20.10 미만 버전
-8.21.x 모든 버전
-8.22.x ~ 8.22.4 미만 버전
*8.22.4 버전의 경우 영향을 받지 않지만, 관련없는 안전하지 않은 버그가 포함되어 있음
△Jira Service Management Server, Jira Service Management Data Center :
-4.13.22 미만 버전
-4.14.x ~ 4.19.x 모든 버전
-4.20.x ~ 4.20.10 미만 버전
-4.21.x 모든 버전
-4.22.x ~ 4.22.4 미만 버전
[기획취재팀(boan3@boannews.com)]
Atlassian 제품 취약점, 인증되지 않은 원격 공격자가 Confluence에 로그인
[보안뉴스 기획취재팀] 미국 사이버 보안 및 인프라 보안국(CISA)이 앱 하드 코딩된 자격 증명 취약점인 CVE-2022-26318을 ‘알려진 악용된 취약점(Known Exploited Vulnerabilities)’ 카달로그에 추가했다. ‘알려진 악용 취약점’ 카탈로그란 CISA가 악용 되는 것으로 식별했거나 실제 공격자가 사용한 취약점 목록이다.
▲CVE-2022-26318 취약점 관련해 업데이트 안내 화면[이미지=confluence 사이트]
이번에 추가된 CVE-2022-26318 취약점은 Confluence 서버 및 데이터 센터용 Atlassian Questions For Confluence 앱에 사용자 이름 disabledsystemuser와 하드코딩된 비밀번호를 사용해 confluence-users 그룹에 Confluence 사용자 계정을 생성한다. 그런데 하드코딩된 암호를 알고 있는 인증되지 않은 원격 공격자가 이를 악용해 Confluence에 로그인하고 confluence-users 그룹의 사용자가 접근할 수 있는 모든 콘텐츠에 접근할 수 있다.
또한, Atlassian은 CVE-2022-26318 외에도 CVE-2022-26136과 CVE-2022-26137을 발표했다. CVE-2022-26136은 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 자사 및 타사 앱에서 사용하는 서블릿 필터를 우회할 수 있다. 영향은 각 앱에서 사용하는 필터와 필터 사용 방법에 따라 다르지만 해당 취약점으로 인해 인증 우회 및 사이트 간 스크립팅이 발생할 수 있다.
CVE-2022-26137도 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 애플리케이션이 요청 또는 응답을 처리할 때 추가 서블릿 필터가 호출되도록 할 수 있다. 특수하게 조작된 HTTP 요청을 보내면 CORS 요청에 응답하는 데 사용되는 서블릿 필터가 호출되어 CORS 우회가 발생할 수 있다. 사용자를 속여 악성 URL을 요청하도록 할 수 있는 공격자는 피해자의 권한으로 취약한 애플리케이션에 액세스할 수 있다.
이에 대해 이스트시큐리티는 1일 취약점 주의에 대해 안내하며 “해당 취약점은 이미 패치가 공개되어 취약한 버전을 사용하는 사용자의 경우 빠른 패치를 해야 한다”고 권고했다.
영향받는 버전은 다음과 같다.
하드코딩된 비밀번호(CVE-2022-26318)
△Questions For Confluence :
-2.7.34, 2.7.35, 3.0.2 버전
다중 서플릿 필터 취약점(CVE-2022-26136 , CVE-2022-26137)
△Bamboo Server, Bamboo Data Center :
-7.2.9 미만 버전
-8.0.x ~ 8.0.9 미만 버전
-8.1.x ~ 8.1.8 미만 버전
-8.2.x ~ 8.2.4 미만 버전
△Bitbucket Server, Bitbucket Data Center :
- 7.6.16 미만 버전
- 7.7.x ~ 7.16.x 모든 버전
- 7.17.x ~ 7.17.8 미만 버전
- 7.18.x 모든 버전
- 7.19.x ~ 7.19.5 미만 버전
- 7.20.x ~ 7.20.2 미만 버전
- 7.21.x ~ 7.21.2 미만 버전
- 8.0.0 버전
- 8.1.0 버전
△Confluence Server, Confluence Data Center :
-7.4.17 미만 버전
-7.5.x ~ 7.12.x 모든 버전
-7.13.x ~ 7.13.7 미만 버전
-7.14.x ~ 7.14.3 미만 버전
-7.15.x ~ 7.15.2 미만 버전
-7.16.x ~ 7.16.4 미만 버전
-7.17.x ~ 7.17.4 미만 버전
-7.18.0 버전
△Crowd Server, Crowd Data Center :
-4.3.8 미만 버전
-4.4.x ~ 4.4.2 미만 버전
-5.0.0 버전
△Crucible, Fisheye :
-4.8.10 미만 버전
△Jira Core Server, Jira Software Server, Jira Software Data Center :
-8.13.22 미만 버전
-8.14.x ~ 8.19.x 모든 버전
-8.20.x ~ 8.20.10 미만 버전
-8.21.x 모든 버전
-8.22.x ~ 8.22.4 미만 버전
*8.22.4 버전의 경우 영향을 받지 않지만, 관련없는 안전하지 않은 버그가 포함되어 있음
△Jira Service Management Server, Jira Service Management Data Center :
-4.13.22 미만 버전
-4.14.x ~ 4.19.x 모든 버전
-4.20.x ~ 4.20.10 미만 버전
-4.21.x 모든 버전
-4.22.x ~ 4.22.4 미만 버전
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
