요약 : 보안 외신 블리핑컴퓨터에 의하면 젠킨스에서 발견된 초고위험도 취약점에 대한 개념 증명용 익스플로잇들이 다량으로 공개됐다고 한다. 문제의 취약점은 CVE-2024-23897과 CVE-2024-23898로 전자는 승인 과정을 거치지 않은 공격자가 임의 파일에 접근해 열람할 수 있게 해 주고, 후자는 웹소켓(WebSocket)을 하이재킹 하여 임의 CLI 명령을 실행할 수 있게 해 준다고 한다. 보안 업체 소나소스(SonarSource)가 11월 23일에 젠킨스에 따로 제보를 한 바 있으며, 제킨스는 1월 24일에 두 개의 픽스를 발표했다. 그러면서 취약점 정보가 공개되고, 여러 보안 전문가들이 앞다투어 개념 증명용 익스플로잇을 내놓고 있는 상황이다.


배경 : 젠킨스는 오픈소스 자동화 서버로, 소프트웨어 개발자들 사이에서 널리 사용된다. 특히 CI와 CD 파이프라인 구축에 있어서 디폴트로 사용되다시피 하는 요소다. 따라서 보안 전문가들과 해커들의 관심이 높을 수밖에 없다. 개념 증명용 익스플로잇은 공격 시나리오를 가늠하는 데에도 도움이 되지만 실제 해킹 공격 도구를 개발하는 데에도 도움이 된다는 양면성을 가지고 있다.

말말말 : “여러 개념 증명용 코드들이 잘 작동하고 있습니다. 따라서 해커들이 공격 코드를 만들기에 용이한 상황입니다. 패치를 서둘러야 할 필요가 있습니다.” -블리핑컴퓨터-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>