[º¸¾È´º½º ¹®Á¤ÈÄ ±âÀÚ] ÀÎÅͳݰú ¿¬°áµÈ ¾ÆÆÄÄ¡ ¾×Ƽºê¿¥Å¥ ¼¹ö(Apache ActiveMQ Server) 3õ °³ À̻󿡼 ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÀÌ¹Ì °ø°ÝÀÚµéÀÌ ¹ß°ßÇØ ÀͽºÇ÷ÎÀÕ ÇÏ´Â ÁßÀ̶ó°í ÇÑ´Ù. °ø°ÝÀÚµéÀÇ ÀͽºÇ÷ÎÀÕ ¸ñÀûÀº ¹«¾ùº¸´Ù ·£¼¶¿þ¾î¸¦ À¯Æ÷ÇÏ´Â °ÍÀÌ´Ù.
[À̹ÌÁö = gettyimagesbank]
¹®Á¦ÀÇ Ãë¾àÁ¡Àº CVE-2023-46604À̸ç, 10¿ù 27ÀÏ ¾ÆÆÄÄ¡¼ÒÇÁÆ®¿þ¾îÀç´Ü(Apache Software Foundation, ASF)ÀÌ °ø°³Çß´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â µ¥ ¼º°øÇÏ¸é ¿ø°ÝÀÇ °ø°ÝÀÚ°¡ ¾×ƼºêMQ ¸Þ½ÃÁö ºê·ÎÄ¿¿¡ Á¢±ÙÇØ ÀÓÀÇÀÇ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÇöÀç ÀÌ Ãë¾àÁ¡ÀÇ ±â¼ú ¼¼ºÎ »çÇ×°ú °³³ä Áõ¸í¿ë ÀͽºÇ÷ÎÀÕÀÌ °ø°³µÇ¾î ÀÖ¾î °ø°ÝÀÚµé ¿ª½Ã ÃæºÐÈ÷ °ø·«ÀÌ °¡´ÉÇÑ »óȲÀÌ´Ù.
ÀͽºÇ÷ÎÀÕ È°µ¿
±×¸®°í ½ÇÁ¦·Î ±×·¯ÇÑ ÀͽºÇ÷ÎÀÕ ÇàÀ§°¡ ÁøÇàµÇ°í ÀÖ´Ù´Â °ÍÀ» º¸¾È ¾÷ü ¶óÇǵå7(Rapid7)ÀÇ ¿¬±¸¿øµé ÀÌ ¹ß°ßÇÏ¿© ¾Ë·È´Ù. ASF Ãø¿¡¼ Ãë¾àÁ¡¿¡ ´ëÇÑ °æ°í¸¦ ¹ßÇ¥ÇÑ ¹Ù·Î ±×³¯ºÎÅÍ °ø°ÝÀÌ ½ÃÀ۵ƴٰí ÇÑ´Ù. ¡°ÇöÀç±îÁö ÀͽºÇ÷ÎÀÕ ½Ãµµ´Â ÃÑ µÎ °Ç ¹ß°ßµÆ´Âµ¥, µÎ °Ç ¸ðµÎ¿¡¼ °ø°ÝÀÚµéÀº ·£¼¶¿þ¾î ÆäÀ̷ε带 ½ÇÇà½ÃÅ°·Á Çß½À´Ï´Ù. ÇÇÇØÀÚ ¸ðµÎ ¾ÆÆÄÄ¡ ¾×ƼºêMQÀÇ ÆÐÄ¡ ¾È µÈ ¹öÀüÀ» »ç¿ëÇÏ°í ÀÖ¾ú°í¿ä.¡±
ÇöÀç±îÁö Á¶»çµÈ ¹Ù¿¡ ÀÇÇϸé ÀÌ µÎ °ÇÀÇ °ø°Ý ¸ðµÎ Çï·ÎŰƼ(HelloKitty)¶ó´Â ·£¼¶¿þ¾î Æйи®¿Í °ü·ÃÀÌ ÀÖ´Â °ÍÀ¸·Î º¸Àδٰí ÇÑ´Ù. ¡°°ø°ÝÀÚµéÀÌ ³²±ä Çù¹Ú ÆíÁö¿Í, ±× ¿Ü ¿©·¯ °ø°Ý °ü·Ã µ¥ÀÌÅ͵éÀ» »ìÆñÀ» ¶§ Çï·ÎŰƼ¶ó´Â ´ÜüÀÇ ³¿»õ°¡ °ÇÏ°Ô ³ª´Â °É ´À³¥ ¼ö ÀÖ¾ú½À´Ï´Ù. Çï·ÎŰƼ´Â 2020³âºÎÅÍ È°µ¿ÇØ ¿Â °ø°Ý ´Üü·Î, ÁÖ·Î ÀÌÁß Çù¹Ú Àü·«À» »ç¿ëÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. µ¥ÀÌÅ͸¦ ¾ÏÈ£È Çϱ⵵ ÇÏÁö¸¸ ±× Àü¿¡ ¹Ì¸® »©µ¹·Á ÇÇÇØÀÚ°¡ µ·À» ³»Áö ¾ÊÀ» ¶§ ÇÑ ¹ø ´õ Çù¹ÚÇÏ´Â Àü·«À» ¼±È£ÇÑ´Ù´Â °ÍÀÌ´Ù.
¾×ƼºêMQ¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡À» ÅëÇÑ Çï·ÎŰƼ ·£¼¶¿þ¾î Á¶Á÷ÀÇ À̹ø °ø°ÝÀº ±×¸® ¶Ù¾î³ªÁö ¾Ê¾Æ º¸ÀδÙ. µÎ °Ç Áß ÇÑ °Ç¿¡¼ °ø°ÝÀÚµéÀº µ¥ÀÌÅÍ ¾ÏÈ£È ½Ãµµ¸¦ ¿©¼¸ ¹øÀ̳ª Çß¾ú´Âµ¥, ÀÌ ¶§¹®¿¡ ¶óÇǵå7 ÃøÀº °ø°ÝÀÚµéÀÌ ÀÌ»óÇÏ°Ô ¼Åõ¸¥ ¸ð½ÀÀ» º¸ÀÎ´Ù°í º¸°í¼¸¦ ÅëÇØ ¼³¸íÇϱ⵵ Çß´Ù.
¡°ÀÌ Ãë¾àÁ¡ÀÇ ÀͽºÇ÷ÎÀÕ ÄÚµå´Â Áö³ ÁÖºÎÅÍ °ø°³µÈ »óȲÀ̾ú½À´Ï´Ù. ÀúÈñµµ ÀͽºÇ÷ÎÀÕ °¡´É¼ºÀ» ÀÚüÀûÀ¸·Î È®ÀÎÇß°í¿ä.¡± ¶óÇǵå7ÀÇ À§Çù ºÐ¼®°¡ ÄÉÀÌƲ¸° Äܵ·(Caitlin Condon)ÀÇ ¼³¸íÀÌ´Ù. ¡°±×·¸±â¿¡ Çï·ÎŰƼ Á¤µµ·Î À̸§ÀÌ ¾Ë·ÁÁø °ø°ÝÀÚ¶ó¸é ¾î´À Á¤µµ´Â ´É¼÷ÇÏ°Ô ÀͽºÇ÷ÎÀÕÀ» ÇÒ ¼ö ÀÖ¾î¾ß ÇÕ´Ï´Ù. ÇÏÁö¸¸ À̹ø µÎ °ÇÀÇ °ø°Ý¸¸ º¸ÀÚ¸é ±×·¸Áö ¾Ê¾Ò½À´Ï´Ù. ÆÐÄ¡¸¦ Àû¿ëÇÏ°í À§Çè ¿ÏÈ ´ëÃ¥¸¸ Àß µµÀÔÇϸé Àû¾îµµ Çï·ÎŰƼÀÇ °ø°ÝÀº ±×¸® ¹æ¾î°¡ ¾î·ÆÁö ¾ÊÀ» °Í °°½À´Ï´Ù.¡±
3000°³ ³Ñ´Â ½Ã½ºÅÛÀÌ °ø°Ý¿¡ ³ëÃâµÅ ÀÖ¾î
¼Îµµ¿ì¼¹ö(ShadowServer)°¡ 10¿ù 30ÀÏ Á¶»çÇÑ ¹Ù¿¡ ÀÇÇϸé Ãë¾àÇÑ »óÅ·ΠÀÎÅͳݿ¡ ³ëÃâµÇ¾î ÀÖ´Â ¾×ƼºêMQ ½Ã½ºÅÛµéÀº 3329°³·Î Áý°èµÇ°í ÀÖ´Ù°í ÇÑ´Ù. ¾×ƼºêMQ´Â ÀαⰡ ¾çÈ£ÇÑ ¿ÀǼҽº ¸Þ½ÃÁö ºê·ÎÄ¿·Î ¾ÖÇø®ÄÉÀ̼Ç, ¼ºñ½º, ½Ã½ºÅÛ °£ ¸Þ½ÃÁö°¡ È°¹ßÈ÷ ¿À°¥ ¼ö ÀÖµµ·Ï ÇØ ÁØ´Ù. ÀÚ¹Ù¸¦ ±â¹ÝÀ¸·Î ÇÏ°í ÀÖ´Ù. µ¥ÀÌÅÍ ºÐ¼® ¾÷üÀÎ ¿£¸®ÇÁÆ®(Enlyft)´Â 13120°³ ±â¾÷µéÀÌ ÇöÀç ¾×ƼºêMQ¸¦ »ç¿ëÇÏ°íÀÖ´Ù°í ÃßÁ¤ÇÏ°í Àֱ⵵ ÇÏ´Ù.
CVE-2023-46604 Ãë¾àÁ¡Àº ÇöÀç ´ÙÀ½ ¾ÖÇø®ÄÉÀÌ¼Ç ¹öÀüµé¿¡¼ ¹ß°ßµÇ°í ÀÖ´Ù.
1) ¾ÆÆÄÄ¡ ¾×ƼºêMQ 5.18.3 ÀÌÀü ¹öÀü°ú 5.17.6 ÀÌÀü ¹öÀü
2) ¾×ƼºêMQ ·¹°Å½Ã ¿ÀÇ¿ÍÀÌ¾î ¸ðµâ(Legacy OpenWire Module) 5.18.3 ÀÌÀü ¹öÀü°ú 5.17.6 ÀÌÀü ¹öÀü
ASF ÃøÀº ÀÌ Ãë¾àÁ¡¿¡ CVSS ±âÁØ 10Á¡ ¸¸Á¡À» ÁÖ¾ú´Ù. °¡Àå ½É°¢ÇÑ À§Çèµµ¸¦ °¡Áø °ÍÀ¸·Î ºÐ¼®ÇÑ °ÍÀÌ´Ù. µû¶ó¼ Á¶¼ÓÇÑ ÆÐÄ¡¸¦ ASF´Â °·ÂÈ÷ ±Ç°íÇÏ´Â ÁßÀÌ´Ù.
±Û : ÀÚÀÌ ºñÀÚ¾á(Jai Vijayan), IT Ä®·³´Ï½ºÆ®
[±¹Á¦ºÎ ¹®Á¤ÈÄ ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>