±ÇÇÑ È®ÀÎ ´©¶ô Ãë¾àÁ¡µµ ¹ß°ß, ƯÁ¤ ±ÇÇÑ °¡Áø °ø°ÝÀÚ°¡ Ÿ »ç¿ëÀÚ ¡®My Views¡¯ È®ÀÎ °¡´É
Ãë¾àÇÑ Á¨Å²½º ¼¹ö º¸À¯ÇÑ ±¹°¡´Â Àü ¼¼°è¿¡¼ 93°³±¹ À̻󿡼 Ž»ö
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ¿ÀǼҽº ÀÚµ¿È µµ±¸ÀÎ Á¨Å²½º(Jenkins)¿¡ ½É°¢ÇÑ º¸¾È Ãë¾àÁ¡ ¡®CVE-2024-43044¡¯ÀÌ ¹ß°ßµÆ´Ù. ÀÌ Ãë¾àÁ¡Àº ¿ø°ÝÄÚµå ½ÇÇà(RCE)À¸·Î À̾îÁú ¼ö ÀÖ´Â ½É°¢ÇÑ °áÇÔÀÌ´Ù.
¡ã¿ÀǼҽº ÀÚµ¿È µµ±¸ Á¨Å²½º(Jenkins)[À̹ÌÁö=¿¡À̾ÆÀ̽ºÆä¶ó]
¿¡À̾ÆÀ̽ºÆä¶ó´Â Á¨Å²½ºÀÇ ¡®CVE-2024-43044¡¯ Ãë¾àÁ¡À» ¾Ç¿ëÇÑ °ø°Ý ¹æ¹ý°ú Ãë¾àÁ¡ ¿µÇâÀ» ¹Þ´Â ÀåÄ¡, ±×¸®°í ¿ÜºÎ¿¡ ³ëÃâµÈ Á¨Å²½º ÀåÄ¡¸¦ À§Çù ÇåÆà µµ±¸·Î È®ÀÎÇÏ´Â ¹æ¹ýÀ» ¼Ò°³Çß´Ù.
Á¨Å²½º´Â ¿ÀǼҽº ÀÚµ¿È ¼¹ö·Î ÁÖ·Î ¼ÒÇÁÆ®¿þ¾î °³¹ß °úÁ¤¿¡¼ CI/CD(Áö¼ÓÀû ÅëÇÕ ¹× Áö¼ÓÀû ¹èÆ÷)¸¦ Áö¿øÇÏ´Â µµ±¸´Ù. Á¨Å²½º¿¡¼ ¹ß°ßµÈ RCE Ãë¾àÁ¡ CVE-2024-43044À» ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» »ìÆ캸¸é °³¹ßÀÚµéÀº ÄÚµå º¯°æ »çÇ×À» ÀÚµ¿À¸·Î ºôµåÇÏ°í Å×½ºÆ®ÇÏ¸ç ¹èÆ÷ÇÒ ¼ö ÀÖµµ·Ï µ½´Â´Ù. »õ·Î ¹ß°ßµÈ Á¨Å²½ºÀÇ ½É°¢ÇÑ Ãë¾àÁ¡ CVE-2024-43044´Â Agent/Connect ±ÇÇÑÀ» °¡Áø °ø°ÝÀÚ°¡ Á¨Å²½ºÀÇ ÄÁÆ®·Ñ·¯ ÆÄÀÏ ½Ã½ºÅÛ¿¡¼ ÀÓÀÇ ÆÄÀÏÀ» ÀÐÀ» ¼ö ÀÖ°Ô ÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù.
Á¨Å²½º´Â ¸®¸ðÆÃ(Remoting) ¶óÀ̺귯¸®¸¦ »ç¿ëÇØ ÄÁÆ®·Ñ·¯¿Í ¿¡ÀÌÀüÆ® °£ÀÇ Åë½ÅÀ» Áö¿øÇϴµ¥, ÀÌ ¶óÀ̺귯¸®´Â ÀϹÝÀûÀ¸·Î agent.jar ¶Ç´Â remoting.jar·Î Á¸ÀçÇÑ´Ù. ±×·±µ¥ À̹ø¿¡ ¹ß°ßµÈ °áÇÔÀ¸·Î Á¨Å²½º 2.470 ¹× ÀÌÀü ¹öÀü, LTS 2.452.3 ¹× ÀÌÀü ¹öÀü¿¡¼´Â ¸®¸ðÆà ¶óÀ̺귯¸®ÀÇ ClassLoaderProxy#fetchJar ¸Þ¼Òµå¸¦ »ç¿ëÇØ ¿¡ÀÌÀüÆ® ÇÁ·Î¼¼½º°¡ ÄÁÆ®·Ñ·¯ ÆÄÀÏ ½Ã½ºÅÛ¿¡¼ ÀÓÀÇÀÇ ÆÄÀÏÀ» ÀÐÀ» ¼ö ÀÖ´Ù.
À̹ø¿¡ Á¨Å²½º¿Í °ü·ÃÇÑ Ãë¾àÁ¡Àº CVE-2024-43044 ¿Ü¿¡µµ Áß°£ ¼öÁØÀÇ ±ÇÇÑ È®ÀÎ ´©¶ô Ãë¾àÁ¡ CVE-2024-43045µµ ÇÔ²² ¹ß°ßµÆ´Âµ¥, ÀÌ´Â HTTP ¿£µåÆ÷ÀÎÆ®°¡ ±ÇÇÑ È®ÀÎÀ» ¼öÇàÇÏÁö ¾Ê¾Æ Overall/Read ±ÇÇÑÀ» °¡Áø °ø°ÝÀÚ°¡ ´Ù¸¥ »ç¿ëÀÚÀÇ ¡®My Views¡¯¸¦ ÀÐÀ» ¼ö ÀÖ°Ô ÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù.
¡ãÀ§Çù ÇåÆà µµ±¸ Å©¸®¹Ì³Î IP·Î È®ÀÎÇÑ ¿ÜºÎ¿¡ ³ëÃâµÈ Jenkins ÀåÄ¡ °Ë»ö °á°ú[À̹ÌÁö=¿¡À̾ÆÀ̽ºÆä¶ó]
¿¡À̾ÆÀ̽ºÆä¶óÀÇ ºÐ¼®¿¡ µû¸£¸é À̹ø Ãë¾àÁ¡Àº ¡®Á¨Å²½º weekly 2.470 ¹× ±× ÀÌÀü ¹öÀü¡¯°ú ¡®Á¨Å²½º LTS 2.452.3 ¹× ±× ÀÌÀü ¹öÀü¡¯ µî ´Ù¾çÇÑ ¹öÀü¿¡¼ ¹ß°ßµÆ´Ù. ¿¡À̾ÆÀ̽ºÆä¶ó °ü°èÀÚ´Â ¡°ÇØ´ç Ãë¾àÁ¡À» ÇØ°áÇϱâ À§ÇØ Á¨Å²½º À§Å¬¸®´Â 2.471 ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÏ°í, Á¨Å²½º LTS´Â 2.452.4 ¹öÀü ¶Ç´Â 2.462.1 ¹öÀü·Î ¾÷µ¥ÀÌÆ®ÇØ¾ß ÇÑ´Ù¡±¸ç ¡°¸ðµç ±× ÀÌÀü ¹öÀüÀº À̹ø Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ±â ¶§¹®¿¡ ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÏ´Â °ÍÀÌ ±ÇÀåµÈ´Ù¡±°í °Á¶Çß´Ù.
À̹ø Á¨Å²½º Ãë¾àÁ¡Àº ¿¡À̾ÆÀ̽ºÆä¶óÀÇ À§Çù ÇåÆà µµ±¸ ¹× CTI °Ë»ö¿£Áø Å©¸®¹Ì³Î IP(Criminal IP)ÀÇ ¾Ö¼Â ¼¼Ä¡(Asset Search)¸¦ »ç¿ëÇÏ¸é ¿ÜºÎ ÀÎÅͳݿ¡ ³ëÃâµÈ ä Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹ÞÀ» ¼ö ÀÖ´Â Á¨Å²½º ÀåÄ¡¸¦ ãÀ» ¼ö ÀÖ´Ù. product ÇÊÅÍ·Î Á¨Å²½ºÀÇ ¿µ¹®¸íÀÎ ¡®Jenkins¡¯¸¦ °Ë»öÇßÀ» ¶§ ¾à 8¸¸°³ÀÇ Á¨Å²½º ÀåÄ¡°¡ °Ë»öµÆ´Ù. ÀÌ °¡¿îµ¥´Â Á¨Å²½º RCE Ãë¾àÁ¡°ú ´Ù¸¥ ½É°¢ÇÑ Ãë¾àÁ¡µéÀ» º¸À¯ÇÏ°í ÀÖ´Â ¼¹öµµ ´Ù¼ö Æ÷ÇԵŠÀÖ´Ù.
¡ãÅ©¸®¹Ì³Î IP¿¡ °Ë»öµÈ ³ëÃâµÈ Jenkins¸¦ º¸À¯ÇÑ ±¹°¡ Åë°è[À̹ÌÁö=¿¡À̾ÆÀ̽ºÆä¶ó]
ƯÈ÷ À̹ø ºÐ¼® °á°ú¸¦ »ìÆìºÃÀ» ¶§ °Ë»öµÈ Á¨Å²½º ¼¹ö¸¦ º¸À¯ÇÑ ±¹°¡´Â Àü ¼¼°è¿¡¼ 93°³±¹ À̻󿡼 Ž»öµÆ´Ù. ÀÌ °¡¿îµ¥ °¡Àå ¸¹Àº ¼¹ö¸¦ º¸À¯ÇÑ ±¹°¡´Â ¼ÒÇÁÆ®¿þ¾î °³¹ß ¹× IT ÀÎÇÁ¶ó °ü¸®¿¡¼ Á¨Å²½º¸¦ ±¤¹üÀ§ÇÏ°Ô »ç¿ëÇÏ´Â ¹Ì±¹À¸·Î 2¸¸ 5,597°³°¡ ¹ß°ßµÆ´Ù. ±× µÚ¸¦ ÀÌ¾î ¼ÒÇÁÆ®¿þ¾î ¿£Áö´Ï¾î¸µ°ú µ¥ºê¿É½º(DevOps) ¹®È°¡ ¹ß´ÞÇÑ µ¶ÀÏ¿¡¼ 5,594°³, ¼¼ ¹ø°·Î´Â IT »ê¾÷°ú ±ÝÀ¶ ¼ºñ½º ºÐ¾ß¿¡¼ Á¨Å²½º¸¦ ¸¹ÀÌ È°¿ëÇÏ´Â ¿µ±¹¾Ö¼ 5,461°³°¡ ¹ß°ßµÆ´Ù.
Á¨Å²½ºÀÇ ¼¹ö´Â ƯÈ÷ ÇØÄ¿ÀÇ °ø°Ý ´ë»óÀÌ µÇ±â ½±°Ô ³ëÃâµÅ ÀÖ¾ú´Ù. °Ë»öµÈ 8¸¸°³ÀÇ ³ëÃâµÈ Á¨Å²½º¸¦ º¸À¯ÇÑ IP ÁÖ¼Ò Áß Çϳª¸¦ º¸¸é, ¿¸° Æ÷Æ® Á¤º¸¿¡¼ 80 Æ÷Æ®¿¡ ¡®Jenkins 2.319.1¡¯ ¹öÀüÀÌ ½ÇÇàµÇ°í ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¶ÇÇÑ, Vulnerabilities Á¤º¸¸¦ º¸¸é CVE-2024-43044 Á¨Å²½º RCE Ãë¾àÁ¡»Ó¸¸ ¾Æ´Ï¶ó PoC(°³³äÁõ¸í)°¡ °ø°³µÅ ÀÖ´Â ½É°¢µµ ³ôÀº ¿©·¯ °³ÀÇ Á¨Å²½º Ãë¾àÁ¡À» º¸À¯ÇÏ°í ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
¿¡À̾ÆÀ̽ºÆä¶ó ºÐ¼®ÆÀÀº ¡°Àü ¼¼°èÀûÀ¸·Î »ç¿ëµÇ´Â °³¹ß µµ±¸ ¹× ¼ÒÇÁÆ®¿þ¾î´Â °ø°ÝÀڵ鿡°Ô °¡Àå ÁÁÀº ¸ÔÀÕ°¨ÀÌ µÇ±â ¶§¹®¿¡ Ãë¾àÁ¡À» º¸À¯ÇÏ°í ÀÖ´Â °Í¸¸À¸·Îµµ À§ÇèÇÑ °ÍÀº ¹°·Ð, Ãë¾àÁ¡À» º¸À¯ÇÑ Ã¤·Î ¿ÜºÎ¿¡ ³ëÃâµÈ °ÍÀº ´õ Å« À§ÇùÀÌ µÉ ¼ö ÀÖ´Ù¡±¸ç ¡°»ç¿ëÀÚµéÀº Á¨Å²½º °ø½Ä À¥»çÀÌÆ®¿¡¼ Á¦°øÇÏ´Â º¸¾È ±Ç°í¹®À» Âü°íÇØ Áï½Ã ÆÐÄ¡¸¦ Àû¿ëÇÏ°í ½Ã½ºÅÛÀÇ º¸¾ÈÀ» °ÈÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>