¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ ¹ß°ß... ¾Ç¼ºÆÄÀÏ ¾÷·Îµå °¡´É

ÀÔ·Â : 2024-01-03 09:50
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö Á¶ÀÛÇØ ¾ÇÀÇÀû ¸ñÀûÀ¸·Î ÀÌ¿ë °¡´É¼º ³ô¾Æ
¿¡À̾ÆÀ̽ºÆä¶ó, ÇØ´ç Ãë¾àÁ¡ CVE-2023-50164 ¾Ç¿ë °ø°Ý ½É°¢...±ä±Þ ÆÐÄ¡ ±Ç°í


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2(Apache Struts 2)¿¡¼­ CVSS 3 ±âÁØÀ¸·Î ½É°¢µµ°¡ 9.8ÀÎ Ä¡¸íÀûÀÎ Ãë¾àÁ¡(CVE-2023-50164)ÀÌ ¹ß°ßµÅ º¸¾È ÆÐÄ¡¸¦ ±Ç°íÇß´Ù. ÀÌ Ãë¾àÁ¡Àº ¿ø°ÝÄÚµå ½ÇÇà(RCE : Remote Code Execution)À» Çã¿ë, °ø°ÝÀÚ°¡ ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇØ ÀÓÀÇÀÇ ÆÄÀÏ °æ·Î¿¡ ¿ø°Ý¿¡¼­ ½ÇÇà °¡´ÉÇÑ ¾Ç¼ºÄڵ带 ¾÷·ÎµåÇÒ ¼ö ÀÖ¾î ¾ÇÀÇÀûÀÎ ¸ñÀûÀ¸·Î ÀÌ¿ëµÉ °¡´É¼ºÀÌ ÀÖ´Ù.

¡ã.action È®ÀåÀÚ¸íÀÌ ³ëÃâµÅ ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ »çÀÌÆ®[ÀÚ·á=AI ½ºÆä¶ó CIP ºí·Î±×]


¿¡À̾ÆÀ̽ºÆä¶ó(AI Spera)´Â ÃÖ±Ù ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 RCE Ãë¾àÁ¡¿¡ ³ëÃâµÈ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇØ ºÐ¼®ÇÏ°í ÀÎÅͳݿ¡ ³ëÃâµÈ ¼­¹ö¸¦ Á¡°ËÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼Ò°³Çß´Ù.

¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2(Apache Struts 2)¶õ ÀÚ¹Ù(JAVA) ¿£ÅÍÇÁ¶óÀÌÁî±Þ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ±¸ÃàÇÒ ¼ö ÀÖµµ·Ï ¼³°èµÈ ¿ÀǼҽº °³¹ß ÇÁ·¹ÀÓ¿öÅ©(Framework)´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2¿Í °ü·ÃµÈ CVE-2023-50164 Ãë¾àÁ¡À¸·Î ÀÎÇØ °ø°ÝÀÚ´Â ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇØ °æ·Î Ž»ö¿¡ ¾Ç¿ëÇÒ ¼ö ÀÖÀ¸¸ç, À̸¦ ÅëÇØ ¾Ç¼º ÆÄÀÏÀ» ¾÷·ÎµåÇÏ°í ¿ø°ÝÄÚµå ½ÇÇàÀÌ °¡´ÉÇÏ´Ù.

ÀÌ °áÇÔÀ¸·Î À¥ ¼­¹ö¿¡ ´ëÇØ ¹«´Ü ¾×¼¼½º°¡ Çã¿ëµÅ ¹Î°¨ÇÑ µ¥ÀÌÅÍÀÇ Á¶ÀÛ ¶Ç´Â Å»Ãë, ¼­ºñ½º Áß´Ü, ¼Õ»óµÈ ½Ã½ºÅÛ ¾Ç¿ëÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ Ãë¾àÁ¡ÀÌ ¾Ç¿ëµÉ ¼ö ÀÖ´Â ´ë»óÀÇ µµ¸ÞÀÎ ¿£µåÆ÷ÀÎÆ®´Â ¡®/upload.action¡¯À¸·Î ¾Ë·ÁÁ³´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 ¼­¹ö¿¡ ÆÄÀÏÀ» ¾÷·ÎµåÇÏ¸é ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇÑ ÈÄ ¡®../../.¡¯¿Í °°Àº °æ·Î Ž»öÀ» ÀÌ¿ëÇØ À¥½©À» ¾÷·ÎµåÇÒ ¼ö ÀÖ´Ù.

¡ã¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 Ç÷¯±×ÀÎ °Ë»ö °á°ú, ¿ø°Ý Á¢¼Ó ½ÇÇàÀÌ °¡´ÉÇÑ »çÀÌÆ®°¡ ³ëÃâµÅ ÀÖ´Ù[ÀÚ·á=AI ½ºÆä¶ó CIP ºí·Î±×]


¿¡À̾ÆÀ̽ºÆä¶ó¿¡¼­ ¿î¿µÇÏ´Â À§Çù ÀÎÅÚ¸®Àü½º °Ë»ö¿£Áø(Criminal IP)ÀÇ Asset Search¸¦ ÀÌ¿ëÇØ ¡®Showcase¡¯, ¡®Struts2 Showcase¡¯, ¡®/struts/utils.js¡¯, ¡®Struts2 jQuery Plugin Showcase¡¯ÀÇ °Ë»ö ÇÊÅÍ¿Í Å°¿öµå·Î ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» »ç¿ë ÁßÀÎ »çÀÌÆ®¸¦ ¹ß°ßÇÒ ¼ö ÀÖ´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2¿¡¼­ Á¦°øÇÏ´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Showcase¸¦ °Ë»öÇßÀ» ¶§´Â ¿ø°ÝÁ¢¼Ó ½ÇÇàÀÌ °¡´ÉÇÑ »çÀÌÆ®°¡ ³ëÃâµÈ °ÍÀÌ È®ÀεƴÙ.

Criminal IPÀÇ Element Analysis ±â´É¿¡¼­ title: ¡®Struts2 Showcase¡¯ Äõ¸®¸¦ »ç¿ëÇØ ÀÎÅͳݿ¡ ³ëÃâµÈ ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2ÀÇ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Showcase¸¦ »ç¿ëÇÏ´Â ±¹°¡ Åë°è¸¦ º¼ ¼ö ÀÖ´Ù. ÃÑ 18°³ ±¹°¡°¡ ³ëÃâµÈ ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 Ç÷¯±×ÀÎÀ» »ç¿ë ÁßÀÎ °ÍÀ¸·Î È®ÀεȴÙ. 2023³â 12¿ù 21ÀÏÀ» ±âÁØÀ¸·Î ÇßÀ» ¶§ ¹Ì±¹ÀÌ 486°³·Î °¡Àå ¸¹ÀÌ ³ªÅ¸³µ°í, ÀϺ»ÀÌ 220°³, Áß±¹ÀÌ 204°³·Î ±× µÚ¸¦ À̾úÀ¸¸ç, Çѱ¹Àº 109°³·Î ³ªÅ¸³µ´Ù.

¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 ÇÁ·¹ÀÓ¿öÅ©·Î °³¹ßµÈ »çÀÌÆ®´Â ±âº»ÀûÀ¸·Î ¡®*.action¡¯ È®ÀåÀÚ ÇüÅ·Π¸Ê¸ÅÇεŠ½ÇÇàµÈ´Ù. ¶ÇÇÑ À̹ø CVE-2023-50164 Ãë¾àÁ¡ÀÇ ¿£µåÆ÷ÀÎÆ®´Â ¡®/upload.action¡¯ÀÌ´Ù.

¡ã°æ·Î Ž»öÀ» ÀÌ¿ëÇØ À¥¼¿À» ¾÷·ÎµåÇÏ´Â ÆäÀ̷εå[ÀÚ·á=AI ½ºÆä¶ó CIP ºí·Î±×]


IT/º¸¾È Àü¹®¸Åü ºí¸®ÇÎÄÄÇ»ÅÍ¿¡ ÀÇÇÏ¸é ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ ¹öÀü 2.0.0~2.5.32 ¹× ¹öÀü 6.0.0~6.3.0.1ÀÌ ÇØ´ç Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.

¿¡À̾ÆÀ̽ºÆä¶ó °ü°èÀÚ´Â ¡°ÇöÀç CVE-2023-50164 Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ ÀÌÈÄ »çÀ̹ö °ø°Ý¿¡¼­ ºó¹øÇÏ°Ô ¾Ç¿ëµÇ°í ÀÖ¾î Àü ¼¼°è ±â¾÷µé°ú »ç¿ëÀÚµéÀÌ Áß´ëÇÑ º¸¾È À§ÇùÀ» °Þ°í ÀÖ´Ù¡±¸ç ¡°¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 »ç¿ëÀÚ´Â Criminal IP¿Í °°Àº À§Çù ÀÎÅÚ¸®Àü½º °Ë»ö¿£ÁøÀ» ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇà À§Çù¿¡ ³ëÃâµÈ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» »çÀü¿¡ ŽÁöÇÏ°í Áï½Ã ÆÐÄ¡ÇØ¾ß ÇÑ´Ù¡±°í °­Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)