Home > 전체기사

CISA, Confluence 앱 하드 코딩된 자격 증명 취약점 경고

  |  입력 : 2022-08-01 13:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미국 사이버 보안 및 인프라 보안국, 앱 하드 코딩된 자격 증명 취약점 경고
Atlassian 제품 취약점, 인증되지 않은 원격 공격자가 Confluence에 로그인


[보안뉴스 기획취재팀] 미국 사이버 보안 및 인프라 보안국(CISA)이 앱 하드 코딩된 자격 증명 취약점인 CVE-2022-26318을 ‘알려진 악용된 취약점(Known Exploited Vulnerabilities)’ 카달로그에 추가했다. ‘알려진 악용 취약점’ 카탈로그란 CISA가 악용 되는 것으로 식별했거나 실제 공격자가 사용한 취약점 목록이다.

▲CVE-2022-26318 취약점 관련해 업데이트 안내 화면[이미지=confluence 사이트]


이번에 추가된 CVE-2022-26318 취약점은 Confluence 서버 및 데이터 센터용 Atlassian Questions For Confluence 앱에 사용자 이름 disabledsystemuser와 하드코딩된 비밀번호를 사용해 confluence-users 그룹에 Confluence 사용자 계정을 생성한다. 그런데 하드코딩된 암호를 알고 있는 인증되지 않은 원격 공격자가 이를 악용해 Confluence에 로그인하고 confluence-users 그룹의 사용자가 접근할 수 있는 모든 콘텐츠에 접근할 수 있다.

또한, Atlassian은 CVE-2022-26318 외에도 CVE-2022-26136과 CVE-2022-26137을 발표했다. CVE-2022-26136은 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 자사 및 타사 앱에서 사용하는 서블릿 필터를 우회할 수 있다. 영향은 각 앱에서 사용하는 필터와 필터 사용 방법에 따라 다르지만 해당 취약점으로 인해 인증 우회 및 사이트 간 스크립팅이 발생할 수 있다.

CVE-2022-26137도 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 애플리케이션이 요청 또는 응답을 처리할 때 추가 서블릿 필터가 호출되도록 할 수 있다. 특수하게 조작된 HTTP 요청을 보내면 CORS 요청에 응답하는 데 사용되는 서블릿 필터가 호출되어 CORS 우회가 발생할 수 있다. 사용자를 속여 악성 URL을 요청하도록 할 수 있는 공격자는 피해자의 권한으로 취약한 애플리케이션에 액세스할 수 있다.

이에 대해 이스트시큐리티는 1일 취약점 주의에 대해 안내하며 “해당 취약점은 이미 패치가 공개되어 취약한 버전을 사용하는 사용자의 경우 빠른 패치를 해야 한다”고 권고했다.

영향받는 버전은 다음과 같다.

하드코딩된 비밀번호(CVE-2022-26318)
△Questions For Confluence :
-2.7.34, 2.7.35, 3.0.2 버전

다중 서플릿 필터 취약점(CVE-2022-26136 ,  CVE-2022-26137)
△Bamboo Server, Bamboo Data Center :
-7.2.9 미만 버전
-8.0.x ~ 8.0.9 미만 버전
-8.1.x ~  8.1.8 미만 버전
-8.2.x ~ 8.2.4 미만 버전

△Bitbucket Server, Bitbucket Data Center :
- 7.6.16 미만 버전
- 7.7.x ~ 7.16.x 모든 버전
- 7.17.x ~ 7.17.8 미만 버전
- 7.18.x 모든 버전
- 7.19.x ~ 7.19.5 미만 버전
- 7.20.x ~ 7.20.2 미만 버전
- 7.21.x ~ 7.21.2 미만 버전
- 8.0.0 버전
- 8.1.0 버전

△Confluence Server, Confluence Data Center :
-7.4.17 미만 버전
-7.5.x ~ 7.12.x 모든 버전
-7.13.x ~ 7.13.7 미만 버전
-7.14.x ~ 7.14.3 미만 버전
-7.15.x ~ 7.15.2 미만 버전
-7.16.x ~ 7.16.4 미만 버전
-7.17.x ~ 7.17.4 미만 버전
-7.18.0 버전

△Crowd Server, Crowd Data Center :
-4.3.8 미만 버전
-4.4.x ~ 4.4.2 미만 버전
-5.0.0 버전

△Crucible, Fisheye :
-4.8.10 미만 버전

△Jira Core Server, Jira Software Server, Jira Software Data Center :
-8.13.22 미만 버전
-8.14.x ~ 8.19.x 모든 버전
-8.20.x ~ 8.20.10 미만 버전
-8.21.x 모든 버전
-8.22.x ~ 8.22.4 미만 버전
*8.22.4 버전의 경우 영향을 받지 않지만, 관련없는 안전하지 않은 버그가 포함되어 있음

△Jira Service Management Server, Jira Service Management Data Center :
-4.13.22 미만 버전
-4.14.x ~ 4.19.x 모든 버전
-4.20.x ~ 4.20.10 미만 버전
-4.21.x 모든 버전
-4.22.x ~ 4.22.4 미만 버전
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)