아틀라시안 제품에서 네 개의 초고위험도 취약점이 발견됐다. 전부 10점 가까운 점수를 받았을 정도로 심각한 취약점이다. 원격 코드 실행 공격을 가능하게 하므로 시급한 패치가 필요하다.

[보안뉴스 문가용 기자] 아틀라시안(Atlassian)에서 만든 기업용 소프트웨어에서 네 개의 초고위험도 취약점이 나왔다. 전부 원격 코드 실행을 가능하게 하는 것으로, 공격자들은 이를 발판으로 횡적으로도 움직일 수 있게 된다고 한다. 이 때문에 사용자 기업에서의 빠른 패치 적용이 요구되고 있다.


이번 주 패치가 발표되면서 함께 공개된 취약점 네 개는 다음과 같다.
1) CVE-2022-1471 : 10점 만점에 9.8점을 받은 비직렬화 취약점으로 SnakeYAML 라이브러리에서 발견됐다.
2) CVE-2023-22522 : 10점 만점에 9점을 받은 템플릿 주입 취약점으로 컨플루언스 서버(Confluence Server)와 데이터센터(Data Center)에서 발견됐다.
3) CVE-2023-22523 : 10점 만점에 9.8점을 받은 원격 코드 실행 취약점으로 애셋디스커버리(Assets Discovery)라는 네트워크 스캐닝 도구에서 발견됐다.
4) CVE-2023-22524 : 10점 만점에 9.6점을 받은 원격 코드 실행 취약점으로 맥OS용 아틀라시안 컴패니언(Atlassian Companion) 앱에서 발견됐다.

아틀라시안 취약점, 공격자들이 기다리는 희소식
아틀라시안은 요즘 보안 관련 소식들 사이에서 가장 빈번하게 나타나는 이름 중 하나다. 해커들과 보안 전문가들의 관심이 급격히 늘어나고 있으며, 그에 따라 제로데이 취약점도 자주 발굴되고 있다. 아틀라시안의 여러 제품들 중 컨플루언스(Confluence)가 특히 ‘핫’하다. 컨플루언스는 웹을 기반으로 한 기업용 ‘위키’로서, 클라우드와 하이브리드 환경에서 ‘콜라보’를 원활하게 해 준다. 재택 근무자가 늘어나면서 협업 도구들의 인기가 치솟았는데, 컨플루언스도 그런 흐름을 탔다. 링크드인, NASA, 뉴욕타임즈 등을 고객으로 두고 있다.

그런 컨플루언스라서 그런지 올해에도 초고위험도로 분류되는 각종 취약점들이 발굴됐다. 적잖은 수가 제로데이 형태로 나타났다. 10월의 경우 컨플루언스에서 CVE-2023-22515라는 제로데이 취약점이 발견됐는데, 10점 만점에 10점을 받았다. 최고 점수를 받은 원격 코드 실행 취약점이었다. 발견되었을 당시 이미 중국의 APT 단체인 스톰0062(Storm-0062)가 익스플로잇 하고 있었다. 그러더니 11월에도 9.1점짜리 제로데이 취약점이 발견됐다. 이 취약점은 랜섬웨어 그룹이 익스플로잇 하고 있었다.

컨플루언스만 문제가 되는 건 아니었다. 아틀라시안의 뱀부(Bamboo)라는 CI/CD 서버에서도 10점짜리 초고위험도 취약점이 11월에 발견됐다. 문제의 근원은 아파치 소프트웨어 재단(ASF)의 액티브엠큐(ActiveMQ)라는 메시지 브로커였다. 이 취약점에는 CVE-2023-46606라는 관리 번호가 부여됐다. 제로데이 취약점은 아니었으나 개념증명용 익스플로잇 코드가 너무 빨리 등장하는 바람에 문제가 됐다.

3줄 요약
1. 기업용 소프트웨어와 장비 만드는 아틀라시안에서 요즘 사건이 많이 발생함.
2. 제로데이와 초고위험도 취약점이 계속해서 나오고 있음.
3. 사용자 기업들의 발빠른 패치 적용이 필요함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>