상세 컨텐츠
본문
Jenkins project's Confluence server hacked to mine Monero
해커가 최근 공개된 Atlassian Confluence의 원격 코드 실행 취약점을 악용하여 Jenkins 프로젝트의 내부 서버에 침입한 것으로 나타났습니다.
Jenkins는 소프트웨어 개발 과정 중 일부를 자동화하는 인기 오픈소스 서버이기 때문에 해당 공격이 발생한 점은 걱정스러운 일입니다. 하지만 프로젝트 릴리즈, 플러그인, 코드는 이에 영향을 받지 않습니다.
주의를 기울이고 있는 관리자들
지난주 CVE-2021-26084에 대한 PoC 코드가 공개된 후, 공격자는 크립토마이너를 설치하기 위해 취약한 Atlassian Confluence 인스턴스를 검색하기 시작했습니다.
많은 공격자가 이 익스플로잇을 사용하여 오픈소스 크로스 플랫폼 XMRig 모네로 크립토마이너를 설치했지만, 이 취약점을 악용하여 더욱 큰 피해를 입히는 공격을 실행할 수도 있습니다.
지난주 Jenkins 프로젝트의 관리자는 더 이상 사용되지 않는 Confluence 서버 중 하나가 위 공격을 받은 것을 확인했습니다.
Jenkins의 Mark Waite는 이에 관해 아래와 같이 밝혔습니다.
“조사 결과 Confluence CVE-2021-26084 익스플로잇을 사용하여 서비스를 실행하는 컨테이너에 모네로 채굴기로 추측되는 악성코드가 설치된 것을 발견했습니다. 공격자는 해당 위치에서 다른 인프라에는 접근할 수 없었을 것입니다.”
공격자가 개발자 크리덴셜을 훔쳤다는 증거는 없지만, Jenkins 프로젝트 관리자들은 이에 주의를 기울이고 있으며 더 이상 사용되지 않는 Confluence 서비스가 포함된 통합 ID 시스템 내 모든 계정의 비밀번호를 재설정했습니다.
관리자는 또한 "개발자 커뮤니티와의 신뢰를 회복하기 전까지 릴리스를 금지하기 위한 조치를 취하고 있다"고 밝혔습니다. 영향을 받은 Confluence 서비스는 더 이상 활성화되지 않으며, 권한을 가진 크리덴셜은 변경되었습니다.
CVE-2021-26084는 인증 없이 악용이 가능한 Atlassian Confluence 내 원격 코드 실행 취약점입니다. 해당 취약점은 회사가 8월 25일 보안 권고를 발표해 알려졌습니다.
약 일주일 후, PoC 익스플로잇 코드와 함께 기술적 세부 사항이 공개되었습니다. 여러 공격자들이 이 취약점을 대규모로 악용하기 시작해 미 사이버 사령부(USCYBERCOM)에서는 규모 악용에 대한 경고를 발표하기도 했습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| Ghostscript 제로데이용 PoC 익스플로잇 게시돼 (0) | 2021.09.08 |
|---|---|
| Microsoft와 CISA에서 Office 문서 취약점에 대한 완화 조치 촉구해 (0) | 2021.09.08 |
| NETGEAR 스마트 스위치에 영향을 미치는 치명적인 우회 취약점 수정돼 (0) | 2021.09.07 |
| 마이크로소프트, SolarWinds Serv-U SSH 제로데이 공격 배후로 중국 해커 지목해 (0) | 2021.09.07 |
| TrickBot 개발자, 한국에서 출국 시도하다 체포돼 (0) | 2021.09.07 |
댓글 영역