Jenkins라는 오픈소스 자동화 서버에서 중요한 취약점이 발견되었습니다. 이 취약점은 인증되지 않은 공격자가 임의의 파일을 읽을 수 있게 해주며, SonarSource 연구원들이 이를 발견하였습니다.
첫 번째 취약점인 CVE-2024-23897은 인증되지 않은 공격자가 Jenkins 서버에서 임의의 파일의 데이터를 읽을 수 있게 해주는 것입니다.두 번째 취약점인 CVE-2024-23898은 크로스 사이트 웹소켓 하이재킹 문제로, 공격자가 악의적인 링크를 클릭하게 함으로써 임의의 CLI 명령을 실행할 수 있게 해줍니다. 이 두 가지 취약점에 대한 수정 사항은 2024년 1월 24일에 Jenkins에서 버전 2.442와 LTS 2.426.3으로 고침으로써 발표되었습니다.
이제 이 Jenkins 취약점에 대한 정보가 널리 알려져 있으며, 많은 연구자들이 이 공격 시나리오를 재현하고 GitHub에 작동하는 PoC 공격 코드를 만들었습니다. 이 PoC들은 이미 검증되었고, 일부 연구자들은 Jenkins 허니팟이 이미 실제로 활동을 포착했다고 보고하고 있으며, 이는 해커가 취약점을 악용하기 시작했음을 시사합니다.
요약
- Jenkins라는 오픈소스 자동화 서버에서 중요한 취약점이 발견되었다.
- 이 취약점은 인증되지 않은 공격자가 임의의 파일을 읽을 수 있게 해주며, SonarSource 연구원들이 이를 발견하였다.
- 이제 이 Jenkins 취약점에 대한 정보가 널리 알려져 있으며, 많은 연구자들이 이 공격 시나리오를 재현하고 GitHub에 작동하는 PoC 공격 코드를 만들었다.
- 이 PoC들은 이미 검증되었으며, 일부 연구자들은 이미 자신들의 Jenkins 꿀통에서 야생에서의 활동을 포착했다고 보고하고 있다.
- 이 두 가지 취약점에 대한 수정 사항은 2024년 1월 24일에 Jenkins에서 버전 2.442와 LTS 2.426.3으로 고침으로써 발표되었다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.