오픈소스 자동화 도구 ‘젠킨스’, 심각한 보안 취약점 발견... 8만개 영향 우려

취약점 넘버 ‘CVE-2024-43044’, 원격코드 실행 가능한 심각한 결함
권한 확인 누락 취약점도 발견, 특정 권한 가진 공격자가 타 사용자 ‘My Views’ 확인 가능
취약한 젠킨스 서버 보유한 국가는 전 세계에서 93개국 이상에서 탐색

[보안뉴스 김영명 기자] 최근 오픈소스 자동화 도구인 젠킨스(Jenkins)에 심각한 보안 취약점 ‘CVE-2024-43044’이 발견됐다. 이 취약점은 원격코드 실행(RCE)으로 이어질 수 있는 심각한 결함이다.

▲오픈소스 자동화 도구 젠킨스(Jenkins)[이미지=에이아이스페라]

에이아이스페라는 젠킨스의 ‘CVE-2024-43044’ 취약점을 악용한 공격 방법과 취약점 영향을 받는 장치, 그리고 외부에 노출된 젠킨스 장치를 위협 헌팅 도구로 확인하는 방법을 소개했다.

젠킨스는 오픈소스 자동화 서버로 주로 소프트웨어 개발 과정에서 CI/CD(지속적 통합 및 지속적 배포)를 지원하는 도구다. 젠킨스에서 발견된 RCE 취약점 CVE-2024-43044을 악용하는 방법을 살펴보면 개발자들은 코드 변경 사항을 자동으로 빌드하고 테스트하며 배포할 수 있도록 돕는다. 새로 발견된 젠킨스의 심각한 취약점 CVE-2024-43044는 Agent/Connect 권한을 가진 공격자가 젠킨스의 컨트롤러 파일 시스템에서 임의 파일을 읽을 수 있게 하는 취약점이다.

젠킨스는 리모팅(Remoting) 라이브러리를 사용해 컨트롤러와 에이전트 간의 통신을 지원하는데, 이 라이브러리는 일반적으로 agent.jar 또는 remoting.jar로 존재한다. 그런데 이번에 발견된 결함으로 젠킨스 2.470 및 이전 버전, LTS 2.452.3 및 이전 버전에서는 리모팅 라이브러리의 ClassLoaderProxy#fetchJar 메소드를 사용해 에이전트 프로세스가 컨트롤러 파일 시스템에서 임의의 파일을 읽을 수 있다.

이번에 젠킨스와 관련한 취약점은 CVE-2024-43044 외에도 중간 수준의 권한 확인 누락 취약점 CVE-2024-43045도 함께 발견됐는데, 이는 HTTP 엔드포인트가 권한 확인을 수행하지 않아 Overall/Read 권한을 가진 공격자가 다른 사용자의 ‘My Views’를 읽을 수 있게 하는 취약점이다.

▲위협 헌팅 도구 크리미널 IP로 확인한 외부에 노출된 Jenkins 장치 검색 결과[이미지=에이아이스페라]

에이아이스페라의 분석에 따르면 이번 취약점은 ‘젠킨스 weekly 2.470 및 그 이전 버전’과 ‘젠킨스 LTS 2.452.3 및 그 이전 버전’ 등 다양한 버전에서 발견됐다. 에이아이스페라 관계자는 “해당 취약점을 해결하기 위해 젠킨스 위클리는 2.471 버전으로 업데이트하고, 젠킨스 LTS는 2.452.4 버전 또는 2.462.1 버전로 업데이트해야 한다”며 “모든 그 이전 버전은 이번 취약점에 영향을 받기 때문에 최신 버전으로 업데이트하는 것이 권장된다”고 강조했다.

이번 젠킨스 취약점은 에이아이스페라의 위협 헌팅 도구 및 CTI 검색엔진 크리미널 IP(Criminal IP)의 애셋 세치(Asset Search)를 사용하면 외부 인터넷에 노출된 채 취약점에 영향을 받을 수 있는 젠킨스 장치를 찾을 수 있다. product 필터로 젠킨스의 영문명인 ‘Jenkins’를 검색했을 때 약 8만개의 젠킨스 장치가 검색됐다. 이 가운데는 젠킨스 RCE 취약점과 다른 심각한 취약점들을 보유하고 있는 서버도 다수 포함돼 있다.

▲크리미널 IP에 검색된 노출된 Jenkins를 보유한 국가 통계[이미지=에이아이스페라]

특히 이번 분석 결과를 살펴봤을 때 검색된 젠킨스 서버를 보유한 국가는 전 세계에서 93개국 이상에서 탐색됐다. 이 가운데 가장 많은 서버를 보유한 국가는 소프트웨어 개발 및 IT 인프라 관리에서 젠킨스를 광범위하게 사용하는 미국으로 2만 5,597개가 발견됐다. 그 뒤를 이어 소프트웨어 엔지니어링과 데브옵스(DevOps) 문화가 발달한 독일에서 5,594개, 세 번째로는 IT 산업과 금융 서비스 분야에서 젠킨스를 많이 활용하는 영국애서 5,461개가 발견됐다.

젠킨스의 서버는 특히 해커의 공격 대상이 되기 쉽게 노출돼 있었다. 검색된 8만개의 노출된 젠킨스를 보유한 IP 주소 중 하나를 보면, 열린 포트 정보에서 80 포트에 ‘Jenkins 2.319.1’ 버전이 실행되고 있는 것을 알 수 있다. 또한, Vulnerabilities 정보를 보면 CVE-2024-43044 젠킨스 RCE 취약점뿐만 아니라 PoC(개념증명)가 공개돼 있는 심각도 높은 여러 개의 젠킨스 취약점을 보유하고 있는 것을 알 수 있다.

에이아이스페라 분석팀은 “전 세계적으로 사용되는 개발 도구 및 소프트웨어는 공격자들에게 가장 좋은 먹잇감이 되기 때문에 취약점을 보유하고 있는 것만으로도 위험한 것은 물론, 취약점을 보유한 채로 외부에 노출된 것은 더 큰 위협이 될 수 있다”며 “사용자들은 젠킨스 공식 웹사이트에서 제공하는 보안 권고문을 참고해 즉시 패치를 적용하고 시스템의 보안을 강화해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)