이번 주 다이제스트에서는 다음에 대해 논의할 것입니다.
- Atlassian Confluence 데이터 센터 및 Server 원격 코드 실행
- Adobe ColdFusion 원격 코드 실행
- OpenSSH 포워딩된 ssh-에이전트 원격 코드 실행
- AMD "젠블리드"
CV-2023-22505 및 CV-2023-22508: Atlassian Confluence 데이터 센터 및 Server 원격 코드 실행
배경
호주 소프트웨어 회사 Atlassian에서 개발한 Confluence는 기업 내 협업 및 지식 공유를 위해 설계된 웹 기반 기업 위키입니다. 2004년에 처음 출시되어 Java를 사용하여 구축된 Confluence는 원활한 팀워크 및 문서화 프로세스를 촉진하는 다목적 플랫폼으로 발전했습니다. 내장된 Tomcat 웹 서버 및 HSQL 데이터베이스를 통해 Confluence Standalone은 독립형 솔루션을 제공하는 동시에 다양한 다른 데이터베이스를 수용합니다. Atlassian은 조직이 온프레미스 배포 또는 서비스형 소프트웨어 중에서 선택할 수 있도록 엔터프라이즈 소프트웨어로 Confluence를 제공합니다.
취약성
Confluence Data Center & Server에서 심각도가 높은 두 가지 원격 코드 실행(RCE) 취약점이 발견되었습니다.
CVE-2023-22505로 알려진 첫 번째 취약점은 버전 8.0.0에 도입되었습니다. Confluence의 평가에 따르면 이 취약점은 인증된 공격자가 임의의 코드를 실행할 수 있도록 허용하는 CVSS 점수 8점을 받았습니다. 이 취약점은 기밀성, 무결성 및 가용성에 대한 높은 위험을 초래하므로 매우 중요한 문제입니다. 또한 공격자는 사용자 상호 작용 없이도 이 결함을 악용할 수 있습니다.
두 번째 취약점인 CVE-2023-22508은 버전 6.1.0에 도입되었습니다. Confluence의 평가에 따르면 CVSS 점수는 8.5점이며, 이전 취약점과 유사한 특성을 공유합니다. 인증된 공격자는 사용자 상호 작용 없이 임의의 코드를 실행하여 기밀성, 무결성 및 가용성에 큰 영향을 미칠 수 있습니다.
완화
CVE-2023-22505:
- 인스턴스를 최신 버전의 Confluence Data Center & Server로 업그레이드하세요.
- 최신 버전으로 업그레이드할 수 없는 경우 고정 버전 중 하나(특히 8.3.2 또는 8.4.0)로 업그레이드하세요.
CVE-2023-22508:
- 인스턴스를 8.2.0 이상(예: 8.2, 8.2, 8.4 등)의 Confluence 기능 릴리스로 업그레이드합니다.
- 또는 7.19.8 이상(예: 7.19.8, 7.19.9, 7.19.10, 7.19.11 등) 또는 7.13.20 이상(8월 초 릴리스 제공)의 Confluence 7.19 LTS 버그 수정 릴리스로 업그레이드합니다.
CVE-2023-38205: Adobe ColdFusion 액세스 제어 우회
배경
Adobe ColdFusion은 다목적 Java 기반 웹 애플리케이션 개발 플랫폼입니다. 개발자는 HTML과 혼합된 CFML(ColdFusion Markup Language)을 사용하여 서버 측 로직과 데이터베이스 상호 작용을 웹 페이지에 원활하게 통합함으로써 동적인 데이터 기반 웹 애플리케이션을 제작할 수 있습니다.
취약성
CVE-2023-38205로 추적되는 이 취약점은 Adobe의 보안 게시판에서 이전에 패치된 취약점인 CVE-2023-29298을 수정하기 위한 패치 우회입니다. 2023년 7월 11일에 릴리스된 CVE-2023-29298에 대한 초기 패치는 이 문제를 성공적으로 해결하지 못했으며 공격자가 이를 우회할 수 있었습니다. Rapid7에 따르면 이 취약점에 대한 수정은 유효한 URL을 처리하는 데는 정확했지만, 여전히 유효한 URL 경로 없이도 수정 사항을 우회하여 예상 엔드포인트에 액세스할 수 있는 유효하지 않은 URL을 제공함으로써 우회할 수 있다고 합니다.
다음 버전의 ColdFusion이 취약합니다:
- Adobe ColdFusion 2023 업데이트 2 및 이전 버전
- Adobe ColdFusion 2021 업데이트 8 및 이전 버전
- Adobe ColdFusion 2018 업데이트 18 및 이전 버전
완화
Adobe는 2023년 7월 19일에 이 취약점을 완화하기 위한 패치를 이 권고에서 발표했습니다. 패치는 다음과 같습니다:
- ColdFusion 2023용 업데이트 3
- ColdFusion 2021용 업데이트 9
- ColdFusion 2018용 업데이트 19
CVE-2023-38408: OpenSSH의 전달된 ssh-agent에서 원격 코드 실행
배경
OpenSSH의 전달된 ssh-에이전트는 사용자가 SSH 연결 중에 한 컴퓨터에서 다른 컴퓨터로 ssh-에이전트를 안전하게 전달할 수 있는 기능입니다. ssh-agent는 SSH 공개 키 인증을 위한 개인 키를 관리합니다. 에이전트 포워딩을 통해 사용자의 로컬 ssh-에이전트를 사용하여 원격 시스템에 대한 연결을 인증할 수 있으므로 해당 시스템에 개인 키를 저장할 필요가 없습니다.
취약성
Qualys의 연구원들이 발표한 권고에 따르면, ssh-에이전트 포워딩을 사용하여 공격자가 제어하는 호스트에 로그인하는 사람은 공격자가 제어하는 호스트에 로그인한 컴퓨터(기본 호스트)에 대한 공격자의 원격 코드 실행에 노출될 가능성이 있습니다.
이 취약점은 원격 호스트에서 전달된 공유 라이브러리를 처리하는 OpenSSH 에이전트에서 비롯됩니다. 기본값인 ENABLE_PKCS11 플래그를 사용하여 기본 호스트의 ssh-agent를 컴파일하면 원격 호스트는 기본 호스트의 /usr/lib/*에 있는 모든 공유 라이브러리를 로드(dlopen())하고 즉시 언로드(dlclose())할 수 있습니다. 그러나 이 동작은 많은 공유 라이브러리에서 잘 작동하지 않아 의도하지 않은 부작용이 발생할 수 있습니다. 연구자들은 이러한 부작용을 연쇄적으로 연결하여 기본 호스트에서 원격 코드 실행 권한을 얻을 수 있습니다. 그러나 연구자의 범위는 Ubuntu 데스크톱 22.04 및 21.10으로 제한되었습니다.
완화
- 업데이트된 버전의 OpenSSH 라이브러리를 사용하세요: 9.3p2
- 사용자가 신뢰할 수 없는 호스트에 연결할 때 ssh-agent 포워딩 옵션을 사용하지 않으면 취약점 악용을 방지할 수 있습니다.
CVE-2023-20593: 교차 프로세스 정보 유출 일명 "젠블리드"
2023년 7월 24일, AMD는 EPYC "Rome" CPU를 실행하는 Akamai 클라우드 컴퓨팅 호스트의 하위 집합에 영향을 미치는 보안 취약점(CVE-2023-20593)을 공개했습니다. 젠블리드에 대한 자세한 내용은 최근 블로그 게시물에서 확인하세요.
내용