.jpg)
ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö Á¶ÀÛÇØ ¾ÇÀÇÀû ¸ñÀûÀ¸·Î ÀÌ¿ë °¡´É¼º ³ô¾Æ
¿¡À̾ÆÀ̽ºÆä¶ó, ÇØ´ç Ãë¾àÁ¡ CVE-2023-50164 ¾Ç¿ë °ø°Ý ½É°¢...±ä±Þ ÆÐÄ¡ ±Ç°í
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2(Apache Struts 2)¿¡¼ CVSS 3 ±âÁØÀ¸·Î ½É°¢µµ°¡ 9.8ÀÎ Ä¡¸íÀûÀÎ Ãë¾àÁ¡(CVE-2023-50164)ÀÌ ¹ß°ßµÅ º¸¾È ÆÐÄ¡¸¦ ±Ç°íÇß´Ù. ÀÌ Ãë¾àÁ¡Àº ¿ø°ÝÄÚµå ½ÇÇà(RCE : Remote Code Execution)À» Çã¿ë, °ø°ÝÀÚ°¡ ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇØ ÀÓÀÇÀÇ ÆÄÀÏ °æ·Î¿¡ ¿ø°Ý¿¡¼ ½ÇÇà °¡´ÉÇÑ ¾Ç¼ºÄڵ带 ¾÷·ÎµåÇÒ ¼ö ÀÖ¾î ¾ÇÀÇÀûÀÎ ¸ñÀûÀ¸·Î ÀÌ¿ëµÉ °¡´É¼ºÀÌ ÀÖ´Ù.
¿¡À̾ÆÀ̽ºÆä¶ó(AI Spera)´Â ÃÖ±Ù ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 RCE Ãë¾àÁ¡¿¡ ³ëÃâµÈ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇØ ºÐ¼®ÇÏ°í ÀÎÅͳݿ¡ ³ëÃâµÈ ¼¹ö¸¦ Á¡°ËÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼Ò°³Çß´Ù.
¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2(Apache Struts 2)¶õ ÀÚ¹Ù(JAVA) ¿£ÅÍÇÁ¶óÀÌÁî±Þ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ±¸ÃàÇÒ ¼ö ÀÖµµ·Ï ¼³°èµÈ ¿ÀǼҽº °³¹ß ÇÁ·¹ÀÓ¿öÅ©(Framework)´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2¿Í °ü·ÃµÈ CVE-2023-50164 Ãë¾àÁ¡À¸·Î ÀÎÇØ °ø°ÝÀÚ´Â ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇØ °æ·Î Ž»ö¿¡ ¾Ç¿ëÇÒ ¼ö ÀÖÀ¸¸ç, À̸¦ ÅëÇØ ¾Ç¼º ÆÄÀÏÀ» ¾÷·ÎµåÇÏ°í ¿ø°ÝÄÚµå ½ÇÇàÀÌ °¡´ÉÇÏ´Ù.
ÀÌ °áÇÔÀ¸·Î À¥ ¼¹ö¿¡ ´ëÇØ ¹«´Ü ¾×¼¼½º°¡ Çã¿ëµÅ ¹Î°¨ÇÑ µ¥ÀÌÅÍÀÇ Á¶ÀÛ ¶Ç´Â Å»Ãë, ¼ºñ½º Áß´Ü, ¼Õ»óµÈ ½Ã½ºÅÛ ¾Ç¿ëÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ Ãë¾àÁ¡ÀÌ ¾Ç¿ëµÉ ¼ö ÀÖ´Â ´ë»óÀÇ µµ¸ÞÀÎ ¿£µåÆ÷ÀÎÆ®´Â ¡®/upload.action¡¯À¸·Î ¾Ë·ÁÁ³´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 ¼¹ö¿¡ ÆÄÀÏÀ» ¾÷·ÎµåÇÏ¸é ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇÑ ÈÄ ¡®../../.¡¯¿Í °°Àº °æ·Î Ž»öÀ» ÀÌ¿ëÇØ À¥½©À» ¾÷·ÎµåÇÒ ¼ö ÀÖ´Ù.
¿¡À̾ÆÀ̽ºÆä¶ó¿¡¼ ¿î¿µÇÏ´Â À§Çù ÀÎÅÚ¸®Àü½º °Ë»ö¿£Áø(Criminal IP)ÀÇ Asset Search¸¦ ÀÌ¿ëÇØ ¡®Showcase¡¯, ¡®Struts2 Showcase¡¯, ¡®/struts/utils.js¡¯, ¡®Struts2 jQuery Plugin Showcase¡¯ÀÇ °Ë»ö ÇÊÅÍ¿Í Å°¿öµå·Î ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» »ç¿ë ÁßÀÎ »çÀÌÆ®¸¦ ¹ß°ßÇÒ ¼ö ÀÖ´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2¿¡¼ Á¦°øÇÏ´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Showcase¸¦ °Ë»öÇßÀ» ¶§´Â ¿ø°ÝÁ¢¼Ó ½ÇÇàÀÌ °¡´ÉÇÑ »çÀÌÆ®°¡ ³ëÃâµÈ °ÍÀÌ È®ÀεƴÙ.
Criminal IPÀÇ Element Analysis ±â´É¿¡¼ title: ¡®Struts2 Showcase¡¯ Äõ¸®¸¦ »ç¿ëÇØ ÀÎÅͳݿ¡ ³ëÃâµÈ ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2ÀÇ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Showcase¸¦ »ç¿ëÇÏ´Â ±¹°¡ Åë°è¸¦ º¼ ¼ö ÀÖ´Ù. ÃÑ 18°³ ±¹°¡°¡ ³ëÃâµÈ ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 Ç÷¯±×ÀÎÀ» »ç¿ë ÁßÀÎ °ÍÀ¸·Î È®ÀεȴÙ. 2023³â 12¿ù 21ÀÏÀ» ±âÁØÀ¸·Î ÇßÀ» ¶§ ¹Ì±¹ÀÌ 486°³·Î °¡Àå ¸¹ÀÌ ³ªÅ¸³µ°í, ÀϺ»ÀÌ 220°³, Áß±¹ÀÌ 204°³·Î ±× µÚ¸¦ À̾úÀ¸¸ç, Çѱ¹Àº 109°³·Î ³ªÅ¸³µ´Ù.
¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 ÇÁ·¹ÀÓ¿öÅ©·Î °³¹ßµÈ »çÀÌÆ®´Â ±âº»ÀûÀ¸·Î ¡®*.action¡¯ È®ÀåÀÚ ÇüÅ·Π¸Ê¸ÅÇεŠ½ÇÇàµÈ´Ù. ¶ÇÇÑ À̹ø CVE-2023-50164 Ãë¾àÁ¡ÀÇ ¿£µåÆ÷ÀÎÆ®´Â ¡®/upload.action¡¯ÀÌ´Ù.
IT/º¸¾È Àü¹®¸Åü ºí¸®ÇÎÄÄÇ»ÅÍ¿¡ ÀÇÇÏ¸é ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ ¹öÀü 2.0.0~2.5.32 ¹× ¹öÀü 6.0.0~6.3.0.1ÀÌ ÇØ´ç Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
¿¡À̾ÆÀ̽ºÆä¶ó °ü°èÀÚ´Â ¡°ÇöÀç CVE-2023-50164 Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ ÀÌÈÄ »çÀ̹ö °ø°Ý¿¡¼ ºó¹øÇÏ°Ô ¾Ç¿ëµÇ°í ÀÖ¾î Àü ¼¼°è ±â¾÷µé°ú »ç¿ëÀÚµéÀÌ Áß´ëÇÑ º¸¾È À§ÇùÀ» °Þ°í ÀÖ´Ù¡±¸ç ¡°¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 »ç¿ëÀÚ´Â Criminal IP¿Í °°Àº À§Çù ÀÎÅÚ¸®Àü½º °Ë»ö¿£ÁøÀ» ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇà À§Çù¿¡ ³ëÃâµÈ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» »çÀü¿¡ ŽÁöÇÏ°í Áï½Ã ÆÐÄ¡ÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
¿¡À̾ÆÀ̽ºÆä¶ó, ÇØ´ç Ãë¾àÁ¡ CVE-2023-50164 ¾Ç¿ë °ø°Ý ½É°¢...±ä±Þ ÆÐÄ¡ ±Ç°í
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2(Apache Struts 2)¿¡¼ CVSS 3 ±âÁØÀ¸·Î ½É°¢µµ°¡ 9.8ÀÎ Ä¡¸íÀûÀÎ Ãë¾àÁ¡(CVE-2023-50164)ÀÌ ¹ß°ßµÅ º¸¾È ÆÐÄ¡¸¦ ±Ç°íÇß´Ù. ÀÌ Ãë¾àÁ¡Àº ¿ø°ÝÄÚµå ½ÇÇà(RCE : Remote Code Execution)À» Çã¿ë, °ø°ÝÀÚ°¡ ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇØ ÀÓÀÇÀÇ ÆÄÀÏ °æ·Î¿¡ ¿ø°Ý¿¡¼ ½ÇÇà °¡´ÉÇÑ ¾Ç¼ºÄڵ带 ¾÷·ÎµåÇÒ ¼ö ÀÖ¾î ¾ÇÀÇÀûÀÎ ¸ñÀûÀ¸·Î ÀÌ¿ëµÉ °¡´É¼ºÀÌ ÀÖ´Ù.
¡ã.action È®ÀåÀÚ¸íÀÌ ³ëÃâµÅ ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ »çÀÌÆ®[ÀÚ·á=AI ½ºÆä¶ó CIP ºí·Î±×]
¿¡À̾ÆÀ̽ºÆä¶ó(AI Spera)´Â ÃÖ±Ù ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 RCE Ãë¾àÁ¡¿¡ ³ëÃâµÈ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇØ ºÐ¼®ÇÏ°í ÀÎÅͳݿ¡ ³ëÃâµÈ ¼¹ö¸¦ Á¡°ËÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¼Ò°³Çß´Ù.
¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2(Apache Struts 2)¶õ ÀÚ¹Ù(JAVA) ¿£ÅÍÇÁ¶óÀÌÁî±Þ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ±¸ÃàÇÒ ¼ö ÀÖµµ·Ï ¼³°èµÈ ¿ÀǼҽº °³¹ß ÇÁ·¹ÀÓ¿öÅ©(Framework)´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2¿Í °ü·ÃµÈ CVE-2023-50164 Ãë¾àÁ¡À¸·Î ÀÎÇØ °ø°ÝÀÚ´Â ÆÄÀÏ ¾÷·Îµå ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇØ °æ·Î Ž»ö¿¡ ¾Ç¿ëÇÒ ¼ö ÀÖÀ¸¸ç, À̸¦ ÅëÇØ ¾Ç¼º ÆÄÀÏÀ» ¾÷·ÎµåÇÏ°í ¿ø°ÝÄÚµå ½ÇÇàÀÌ °¡´ÉÇÏ´Ù.
ÀÌ °áÇÔÀ¸·Î À¥ ¼¹ö¿¡ ´ëÇØ ¹«´Ü ¾×¼¼½º°¡ Çã¿ëµÅ ¹Î°¨ÇÑ µ¥ÀÌÅÍÀÇ Á¶ÀÛ ¶Ç´Â Å»Ãë, ¼ºñ½º Áß´Ü, ¼Õ»óµÈ ½Ã½ºÅÛ ¾Ç¿ëÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ Ãë¾àÁ¡ÀÌ ¾Ç¿ëµÉ ¼ö ÀÖ´Â ´ë»óÀÇ µµ¸ÞÀÎ ¿£µåÆ÷ÀÎÆ®´Â ¡®/upload.action¡¯À¸·Î ¾Ë·ÁÁ³´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 ¼¹ö¿¡ ÆÄÀÏÀ» ¾÷·ÎµåÇÏ¸é ¸Å°³º¯¼ö¸¦ Á¶ÀÛÇÑ ÈÄ ¡®../../.¡¯¿Í °°Àº °æ·Î Ž»öÀ» ÀÌ¿ëÇØ À¥½©À» ¾÷·ÎµåÇÒ ¼ö ÀÖ´Ù.
¡ã¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 Ç÷¯±×ÀÎ °Ë»ö °á°ú, ¿ø°Ý Á¢¼Ó ½ÇÇàÀÌ °¡´ÉÇÑ »çÀÌÆ®°¡ ³ëÃâµÅ ÀÖ´Ù[ÀÚ·á=AI ½ºÆä¶ó CIP ºí·Î±×]
¿¡À̾ÆÀ̽ºÆä¶ó¿¡¼ ¿î¿µÇÏ´Â À§Çù ÀÎÅÚ¸®Àü½º °Ë»ö¿£Áø(Criminal IP)ÀÇ Asset Search¸¦ ÀÌ¿ëÇØ ¡®Showcase¡¯, ¡®Struts2 Showcase¡¯, ¡®/struts/utils.js¡¯, ¡®Struts2 jQuery Plugin Showcase¡¯ÀÇ °Ë»ö ÇÊÅÍ¿Í Å°¿öµå·Î ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» »ç¿ë ÁßÀÎ »çÀÌÆ®¸¦ ¹ß°ßÇÒ ¼ö ÀÖ´Ù. ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2¿¡¼ Á¦°øÇÏ´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Showcase¸¦ °Ë»öÇßÀ» ¶§´Â ¿ø°ÝÁ¢¼Ó ½ÇÇàÀÌ °¡´ÉÇÑ »çÀÌÆ®°¡ ³ëÃâµÈ °ÍÀÌ È®ÀεƴÙ.
Criminal IPÀÇ Element Analysis ±â´É¿¡¼ title: ¡®Struts2 Showcase¡¯ Äõ¸®¸¦ »ç¿ëÇØ ÀÎÅͳݿ¡ ³ëÃâµÈ ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2ÀÇ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Showcase¸¦ »ç¿ëÇÏ´Â ±¹°¡ Åë°è¸¦ º¼ ¼ö ÀÖ´Ù. ÃÑ 18°³ ±¹°¡°¡ ³ëÃâµÈ ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 Ç÷¯±×ÀÎÀ» »ç¿ë ÁßÀÎ °ÍÀ¸·Î È®ÀεȴÙ. 2023³â 12¿ù 21ÀÏÀ» ±âÁØÀ¸·Î ÇßÀ» ¶§ ¹Ì±¹ÀÌ 486°³·Î °¡Àå ¸¹ÀÌ ³ªÅ¸³µ°í, ÀϺ»ÀÌ 220°³, Áß±¹ÀÌ 204°³·Î ±× µÚ¸¦ À̾úÀ¸¸ç, Çѱ¹Àº 109°³·Î ³ªÅ¸³µ´Ù.
¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 ÇÁ·¹ÀÓ¿öÅ©·Î °³¹ßµÈ »çÀÌÆ®´Â ±âº»ÀûÀ¸·Î ¡®*.action¡¯ È®ÀåÀÚ ÇüÅ·Π¸Ê¸ÅÇεŠ½ÇÇàµÈ´Ù. ¶ÇÇÑ À̹ø CVE-2023-50164 Ãë¾àÁ¡ÀÇ ¿£µåÆ÷ÀÎÆ®´Â ¡®/upload.action¡¯ÀÌ´Ù.
¡ã°æ·Î Ž»öÀ» ÀÌ¿ëÇØ À¥¼¿À» ¾÷·ÎµåÇÏ´Â ÆäÀ̷εå[ÀÚ·á=AI ½ºÆä¶ó CIP ºí·Î±×]
IT/º¸¾È Àü¹®¸Åü ºí¸®ÇÎÄÄÇ»ÅÍ¿¡ ÀÇÇÏ¸é ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ ¹öÀü 2.0.0~2.5.32 ¹× ¹öÀü 6.0.0~6.3.0.1ÀÌ ÇØ´ç Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
¿¡À̾ÆÀ̽ºÆä¶ó °ü°èÀÚ´Â ¡°ÇöÀç CVE-2023-50164 Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ ÀÌÈÄ »çÀ̹ö °ø°Ý¿¡¼ ºó¹øÇÏ°Ô ¾Ç¿ëµÇ°í ÀÖ¾î Àü ¼¼°è ±â¾÷µé°ú »ç¿ëÀÚµéÀÌ Áß´ëÇÑ º¸¾È À§ÇùÀ» °Þ°í ÀÖ´Ù¡±¸ç ¡°¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷ 2 »ç¿ëÀÚ´Â Criminal IP¿Í °°Àº À§Çù ÀÎÅÚ¸®Àü½º °Ë»ö¿£ÁøÀ» ÅëÇØ ¿ø°Ý ÄÚµå ½ÇÇà À§Çù¿¡ ³ëÃâµÈ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» »çÀü¿¡ ŽÁöÇÏ°í Áï½Ã ÆÐÄ¡ÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
±è¿µ¸í±âÀÚ ±â»çº¸±â
[2024-04-24] _m.jpg)
.jpg)
.jpg)
