CISA, Confluence 앱 하드 코딩된 자격 증명 취약점 경고

미국 사이버 보안 및 인프라 보안국, 앱 하드 코딩된 자격 증명 취약점 경고
Atlassian 제품 취약점, 인증되지 않은 원격 공격자가 Confluence에 로그인

[보안뉴스 기획취재팀] 미국 사이버 보안 및 인프라 보안국(CISA)이 앱 하드 코딩된 자격 증명 취약점인 CVE-2022-26318을 ‘알려진 악용된 취약점(Known Exploited Vulnerabilities)’ 카달로그에 추가했다. ‘알려진 악용 취약점’ 카탈로그란 CISA가 악용 되는 것으로 식별했거나 실제 공격자가 사용한 취약점 목록이다.

▲CVE-2022-26318 취약점 관련해 업데이트 안내 화면[이미지=confluence 사이트]

이번에 추가된 CVE-2022-26318 취약점은 Confluence 서버 및 데이터 센터용 Atlassian Questions For Confluence 앱에 사용자 이름 disabledsystemuser와 하드코딩된 비밀번호를 사용해 confluence-users 그룹에 Confluence 사용자 계정을 생성한다. 그런데 하드코딩된 암호를 알고 있는 인증되지 않은 원격 공격자가 이를 악용해 Confluence에 로그인하고 confluence-users 그룹의 사용자가 접근할 수 있는 모든 콘텐츠에 접근할 수 있다.

또한, Atlassian은 CVE-2022-26318 외에도 CVE-2022-26136과 CVE-2022-26137을 발표했다. CVE-2022-26136은 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 자사 및 타사 앱에서 사용하는 서블릿 필터를 우회할 수 있다. 영향은 각 앱에서 사용하는 필터와 필터 사용 방법에 따라 다르지만 해당 취약점으로 인해 인증 우회 및 사이트 간 스크립팅이 발생할 수 있다.

CVE-2022-26137도 여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 애플리케이션이 요청 또는 응답을 처리할 때 추가 서블릿 필터가 호출되도록 할 수 있다. 특수하게 조작된 HTTP 요청을 보내면 CORS 요청에 응답하는 데 사용되는 서블릿 필터가 호출되어 CORS 우회가 발생할 수 있다. 사용자를 속여 악성 URL을 요청하도록 할 수 있는 공격자는 피해자의 권한으로 취약한 애플리케이션에 액세스할 수 있다.

이에 대해 이스트시큐리티는 1일 취약점 주의에 대해 안내하며 “해당 취약점은 이미 패치가 공개되어 취약한 버전을 사용하는 사용자의 경우 빠른 패치를 해야 한다”고 권고했다.

영향받는 버전은 다음과 같다.

하드코딩된 비밀번호(CVE-2022-26318)
△Questions For Confluence :
-2.7.34, 2.7.35, 3.0.2 버전

다중 서플릿 필터 취약점(CVE-2022-26136 , CVE-2022-26137)
△Bamboo Server, Bamboo Data Center :
-7.2.9 미만 버전
-8.0.x ~ 8.0.9 미만 버전
-8.1.x ~ 8.1.8 미만 버전
-8.2.x ~ 8.2.4 미만 버전

△Bitbucket Server, Bitbucket Data Center :
- 7.6.16 미만 버전
- 7.7.x ~ 7.16.x 모든 버전
- 7.17.x ~ 7.17.8 미만 버전
- 7.18.x 모든 버전
- 7.19.x ~ 7.19.5 미만 버전
- 7.20.x ~ 7.20.2 미만 버전
- 7.21.x ~ 7.21.2 미만 버전
- 8.0.0 버전
- 8.1.0 버전

△Confluence Server, Confluence Data Center :
-7.4.17 미만 버전
-7.5.x ~ 7.12.x 모든 버전
-7.13.x ~ 7.13.7 미만 버전
-7.14.x ~ 7.14.3 미만 버전
-7.15.x ~ 7.15.2 미만 버전
-7.16.x ~ 7.16.4 미만 버전
-7.17.x ~ 7.17.4 미만 버전
-7.18.0 버전

△Crowd Server, Crowd Data Center :
-4.3.8 미만 버전
-4.4.x ~ 4.4.2 미만 버전
-5.0.0 버전

△Crucible, Fisheye :
-4.8.10 미만 버전

△Jira Core Server, Jira Software Server, Jira Software Data Center :
-8.13.22 미만 버전
-8.14.x ~ 8.19.x 모든 버전
-8.20.x ~ 8.20.10 미만 버전
-8.21.x 모든 버전
-8.22.x ~ 8.22.4 미만 버전
*8.22.4 버전의 경우 영향을 받지 않지만, 관련없는 안전하지 않은 버그가 포함되어 있음

△Jira Service Management Server, Jira Service Management Data Center :
-4.13.22 미만 버전
-4.14.x ~ 4.19.x 모든 버전
-4.20.x ~ 4.20.10 미만 버전
-4.21.x 모든 버전
-4.22.x ~ 4.22.4 미만 버전
[기획취재팀(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)