상세 컨텐츠

본문 제목

Jenkins 오픈소스 프로젝트의 기본 인프라가 이미 해킹되었다?

국내외 보안동향

by 알약(Alyac) 2016. 4. 29. 09:32

본문

Jenkins 오픈소스 프로젝트의 기본 인프라가 해킹되었다?

Possible Jenkins Project Infrastructure Compromise


저번주, Jenkins 프로젝트의 개발자들이 Jenkins 프로젝트의 핵심 인프라 시스템중 하나가 이미 공격자들에 의하여 해킹당했다고 밝혔습니다. 


분석결과에 따르면, 공격자는 이번 공격을 통하여 해당 프로젝트의 접근권한 상승을 하려고 시도한 것으로 보인다고 했습니다. 이렇게 확실하지 않은 잠재적인 보안위협이 있을 때 가장 안전한 방법은 이런 위협이 실제로 존재한다고 가정하고 그에 알맞는 대처를 해야하는 것입니다. 해킹당한 디바이스를 이용하면 1급 백업문서에 접근할 수 있었으며, 2급 백업문서 중의 바이너리 코드 및 코드 개발에 기여한 사람들의 계정정보에 접근할 수 있습니다. 


해킹된 기기에 저장되어 있는 것은 jenkins 프로젝트의 원본 바이너리 코드가 아니기 때문에, 사용자에게 배포된 Jenkins 코드(예를들어 플러그인, 패키지 등)에 대하여 검수를 진행해야 한다고 밝혔습니다. 또한 몇몇 문서들 중에서는 코드가 변조된 흔적이 없었지만, 코드를 개발한 사용자들의 정보가 변조되었는지 알 수 없는 상황일 뿐만 아니라 공격자가 이미 이런 정보들에 접근을 했었는지 여부도 알 수가 없는 상황입니다. 그밖에도 Jenkins 오픈소스 프로젝트팀은 많은 노력을 들여 모든 주요 서비스가 감염 디바이스에서 가상 하드웨어 중으로 다시 이미징 되었는지 확인을 할 것이라고 밝혔습니다. 그래야만 감염된 디바이스에 대한 완벽한 복구가 가능하기 때문입니다.


그렇다면 사용자들은 어떻게 해야 할까요?


만약 당신이 JIRA에 문제제기를 한 적이 없거나, WiKi 페이지를 편집한 적이 없거나, 어떠한 플러그인도 제출한 적이 없거나, Jenkins 홈페이지 중 계정정보를 만들지 않았고 일반적인 Jenkins 커뮤니티의 회원이라면, 비밀번호 재설정 메일을 받은 즉시 비밀번호를 수정해 주어야 합니다. 만약 Jenkins 계정과 동일한 비밀번호를 사용하는 다른 계정이 있다면 해당 계정들의 비밀번호도 모두 변경해야 합니다. 


만약 Jenkins 커뮤니티의 회원이 아니라면 아무 걱정을 안하셔도 됩니다. 



출처 :

https://jenkins.io/blog/2016/04/22/possible-infra-compromise/

관련글 더보기

댓글 영역