[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆƲ¶ó½Ã¾È(Atlassian)¿¡¼ ¸¸µç ±â¾÷¿ë ¼ÒÇÁÆ®¿þ¾î¿¡¼ ³× °³ÀÇ ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ÀÌ ³ª¿Ô´Ù. ÀüºÎ ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇÏ´Â °ÍÀ¸·Î, °ø°ÝÀÚµéÀº À̸¦ ¹ßÆÇÀ¸·Î ȾÀûÀ¸·Îµµ ¿òÁ÷ÀÏ ¼ö ÀÖ°Ô µÈ´Ù°í ÇÑ´Ù. ÀÌ ¶§¹®¿¡ »ç¿ëÀÚ ±â¾÷¿¡¼ÀÇ ºü¸¥ ÆÐÄ¡ Àû¿ëÀÌ ¿ä±¸µÇ°í ÀÖ´Ù.
[À̹ÌÁö = gettyimagesbank]
À̹ø ÁÖ ÆÐÄ¡°¡ ¹ßÇ¥µÇ¸é¼ ÇÔ²² °ø°³µÈ Ãë¾àÁ¡ ³× °³´Â ´ÙÀ½°ú °°´Ù.
1) CVE-2022-1471 : 10Á¡ ¸¸Á¡¿¡ 9.8Á¡À» ¹ÞÀº ºñÁ÷·ÄÈ Ãë¾àÁ¡À¸·Î SnakeYAML ¶óÀ̺귯¸®¿¡¼ ¹ß°ßµÆ´Ù.
2) CVE-2023-22522 : 10Á¡ ¸¸Á¡¿¡ 9Á¡À» ¹ÞÀº ÅÛÇø´ ÁÖÀÔ Ãë¾àÁ¡À¸·Î ÄÁÇ÷ç¾ð½º ¼¹ö(Confluence Server)¿Í µ¥ÀÌÅͼ¾ÅÍ(Data Center)¿¡¼ ¹ß°ßµÆ´Ù.
3) CVE-2023-22523 : 10Á¡ ¸¸Á¡¿¡ 9.8Á¡À» ¹ÞÀº ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À¸·Î ¾Ö¼Âµð½ºÄ¿¹ö¸®(Assets Discovery)¶ó´Â ³×Æ®¿öÅ© ½ºÄ³´× µµ±¸¿¡¼ ¹ß°ßµÆ´Ù.
4) CVE-2023-22524 : 10Á¡ ¸¸Á¡¿¡ 9.6Á¡À» ¹ÞÀº ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À¸·Î ¸ÆOS¿ë ¾ÆƲ¶ó½Ã¾È ÄÄÆдϾð(Atlassian Companion) ¾Û¿¡¼ ¹ß°ßµÆ´Ù.
¾ÆƲ¶ó½Ã¾È Ãë¾àÁ¡, °ø°ÝÀÚµéÀÌ ±â´Ù¸®´Â Èñ¼Ò½Ä
¾ÆƲ¶ó½Ã¾ÈÀº ¿äÁò º¸¾È °ü·Ã ¼Ò½Äµé »çÀÌ¿¡¼ °¡Àå ºó¹øÇÏ°Ô ³ªÅ¸³ª´Â À̸§ Áß Çϳª´Ù. ÇØÄ¿µé°ú º¸¾È Àü¹®°¡µéÀÇ °ü½ÉÀÌ ±Þ°ÝÈ÷ ´Ã¾î³ª°í ÀÖÀ¸¸ç, ±×¿¡ µû¶ó Á¦·Îµ¥ÀÌ Ãë¾àÁ¡µµ ÀÚÁÖ ¹ß±¼µÇ°í ÀÖ´Ù. ¾ÆƲ¶ó½Ã¾ÈÀÇ ¿©·¯ Á¦Ç°µé Áß ÄÁÇ÷ç¾ð½º(Confluence)°¡ ƯÈ÷ ¡®ÇÖ¡¯ÇÏ´Ù. ÄÁÇ÷ç¾ð½º´Â À¥À» ±â¹ÝÀ¸·Î ÇÑ ±â¾÷¿ë ¡®À§Å°¡¯·Î¼, Ŭ¶ó¿ìµå¿Í ÇÏÀ̺긮µå ȯ°æ¿¡¼ ¡®Äݶ󺸡¯¸¦ ¿øÈ°ÇÏ°Ô ÇØ ÁØ´Ù. ÀçÅà ±Ù¹«ÀÚ°¡ ´Ã¾î³ª¸é¼ Çù¾÷ µµ±¸µéÀÇ ÀαⰡ Ä¡¼Ú¾Ò´Âµ¥, ÄÁÇ÷ç¾ð½ºµµ ±×·± È帧À» ÅÀ´Ù. ¸µÅ©µåÀÎ, NASA, ´º¿åŸÀÓÁî µîÀ» °í°´À¸·Î µÎ°í ÀÖ´Ù.
±×·± ÄÁÇ÷ç¾ð½º¶ó¼ ±×·±Áö ¿ÃÇØ¿¡µµ ÃÊ°íÀ§Çèµµ·Î ºÐ·ùµÇ´Â °¢Á¾ Ãë¾àÁ¡µéÀÌ ¹ß±¼µÆ´Ù. ÀûÀÝÀº ¼ö°¡ Á¦·Îµ¥ÀÌ ÇüÅ·Π³ªÅ¸³µ´Ù. 10¿ùÀÇ °æ¿ì ÄÁÇ÷ç¾ð½º¿¡¼ CVE-2023-22515¶ó´Â Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Âµ¥, 10Á¡ ¸¸Á¡¿¡ 10Á¡À» ¹Þ¾Ò´Ù. ÃÖ°í Á¡¼ö¸¦ ¹ÞÀº ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À̾ú´Ù. ¹ß°ßµÇ¾úÀ» ´ç½Ã ÀÌ¹Ì Áß±¹ÀÇ APT ´ÜüÀÎ ½ºÅè0062(Storm-0062)°¡ ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ¾ú´Ù. ±×·¯´õ´Ï 11¿ù¿¡µµ 9.1Á¡Â¥¸® Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÀÌ Ãë¾àÁ¡Àº ·£¼¶¿þ¾î ±×·ìÀÌ ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ¾ú´Ù.
ÄÁÇ÷ç¾ð½º¸¸ ¹®Á¦°¡ µÇ´Â °Ç ¾Æ´Ï¾ú´Ù. ¾ÆƲ¶ó½Ã¾ÈÀÇ ¹ìºÎ(Bamboo)¶ó´Â CI/CD ¼¹ö¿¡¼µµ 10Á¡Â¥¸® ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ÀÌ 11¿ù¿¡ ¹ß°ßµÆ´Ù. ¹®Á¦ÀÇ ±Ù¿øÀº ¾ÆÆÄÄ¡ ¼ÒÇÁÆ®¿þ¾î Àç´Ü(ASF)ÀÇ ¾×Ƽºê¿¥Å¥(ActiveMQ)¶ó´Â ¸Þ½ÃÁö ºê·ÎÄ¿¿´´Ù. ÀÌ Ãë¾àÁ¡¿¡´Â CVE-2023-46606¶ó´Â °ü¸® ¹øÈ£°¡ ºÎ¿©µÆ´Ù. Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ¾Æ´Ï¾úÀ¸³ª °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕ Äڵ尡 ³Ê¹« »¡¸® µîÀåÇÏ´Â ¹Ù¶÷¿¡ ¹®Á¦°¡ µÆ´Ù.
3ÁÙ ¿ä¾à
1. ±â¾÷¿ë ¼ÒÇÁÆ®¿þ¾î¿Í Àåºñ ¸¸µå´Â ¾ÆƲ¶ó½Ã¾È¿¡¼ ¿äÁò »ç°ÇÀÌ ¸¹ÀÌ ¹ß»ýÇÔ.
2. Á¦·Îµ¥ÀÌ¿Í ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ÀÌ °è¼ÓÇؼ ³ª¿À°í ÀÖÀ½.
3. »ç¿ëÀÚ ±â¾÷µéÀÇ ¹ßºü¸¥ ÆÐÄ¡ Àû¿ëÀÌ ÇÊ¿äÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>