DevSecOps: 오래된 보안 버그는 여전히 새로운 트릭을 수행하고 있습니다
원래 게시일 데브옵스닷컴.
사이버 보안 분야에서 우리는 종종 사냥꾼과 같습니다.우리의 눈은 지평선에 단단히 고정된 채 다음 돌파 취약점을 찾고 있습니다 (이를 막기 위한 올바른 설계 도구, 기술 및 전술과 함께).하지만 이러한 미래 지향적인 관심은 우리의 전반적인 보안 인식을 약화시키고, 사방에 존재하는 뿌리 깊은 위험에 눈을 멀게 하는 놀라운 효과를 가져올 수 있습니다. 공격자들은 이를 악용하기가 너무 쉽기 때문입니다.
저는 종종 현대의 사이버 보안을 케블라 갑옷에 비유합니다.겉보기에 미묘해 보이는 케블라의 특성은 고속 탄환과 모든 종류의 현대적이고 강력한 무기를 차단할 수 있습니다.착용한 사람에게는 마치 무적처럼 느껴질 수도 있습니다.하지만 기원전 1000년경에 처음 제작된 비교적 오래된 활과 화살 무기 체계도 그 방어 체계를 뚫을 수 있는 경우가 많습니다.세계에서 바위 다음으로 두 번째로 오래된 무기인 날카로운 칼은 마치 면 스웨트셔츠를 갈가리 찢는 것처럼 쉽게 케블라 껍질을 자를 수 있습니다.그리고 케블라가 인체의 모든 1밀리미터를 보호하지 못한다는 작은 문제도 있습니다.공격자가 피해를 입힐 틈을 찾아내면 마치 소프트웨어의 작고 악용될 수 있는 영역과 매우 흡사합니다.
사이버 보안 분야에서도 마찬가지로 많은 조직이 8년 또는 10년 된 시스템의 결함에 취약합니다. 현대 컴퓨팅 용어로 보면 이러한 결함은 금시계와 연금을 받을 자격이 거의 있습니다.하지만 이러한 오래된 시스템의 결함이 무해하다고 생각한다면 아마도 미래에 죽음의 블루 스크린을 받게 될 것입니다.
퇴역 군인을 위한 취약점
가장 오래되고 가장 많이 사용되는 JavaScript 라이브러리 중 하나는 jQuery입니다. jQuery는 이벤트 처리부터 DOM 트리 탐색 및 조작, 애니메이션 생성에 이르기까지 모든 것을 지원하는 오픈 소스 리소스입니다.꽤 유용한 도구이며, 오랫동안 사용되어 왔습니다.사람들은 이 시점에서 라이브러리가 잘 구축되어 있기 때문에 모든 취약점을 제거하고 철저한 심사를 거쳤음에 틀림없다고 생각합니다.
안타깝게도 그렇지 않습니다.기본적으로 jQuery를 사용하는 대부분의 애플리케이션은 인증을 위해 내부 라이브러리의 지침을 사용합니다.예를 들어 Apache 서버에서는 이것은.htaccess 파일을 확인하는 것을 의미합니다.Apache를 사용하는 프로그램을 설계하는 개발자는 Apache 서버 업데이트에.htaccess가 포함되었는지 확인하려고 생각한 사람은 거의 없을 것입니다.결국 Apache는 수년 동안 보안의 기반이 되어 온 중요한 구성 요소를 왜 제거했을까요?
이상하게 보일지 모르지만, 이것이 바로 Apache가 버전 2.3.9에서 한 일입니다.분명히 프로그램을 실행해야 할 때마다.htaccess 구성 파일을 확인해야 했기 때문에 속도가 너무 느려진 것 같습니다.이를 제거하면 전반적인 Apache 성능이 향상되었지만 대부분의 사람들이 알지 못했던 취약점도 생겼습니다.개발자가 자신의 앱이 여전히.htaccess 파일에 도달할 수 있는지 확인하지 않는다면 대부분의 요청은 면밀한 조사 없이 그냥 받아들여질 것입니다.
최근 전문가들은 이 결함을 발견하고 이를 사용하면 권한이 없는 사용자가 셸이나 거의 모든 유형의 코드를 안전한 시스템에 업로드하고 실행할 수 있다는 점에 주목했습니다.이로 인해 10월에 CVE-2018-9206 이라는 취약성 경고가 생성되었습니다.하지만 보안 연구원이 이 결함을 쉽게 발견했다는 것은 이와 같은 취약점을 찾는 것이 유일한 목적인 전문 해커들이 이미 그 결함을 발견했을 가능성이 높다는 것을 의미합니다.그 여파로 패치와 수정이 널리 알려졌음에도 불구하고 불과 몇 주 후에 영향력이 큰 비슷한 공격이 일어났습니다. 비트코인 도둑질 악성코드 매주 수백만 명이 다운로드하는 인기 있는 NPM 라이브러리에 공개되었습니다.
집사가 해냈어
jQuery와 마찬가지로 Jenkins는 오픈 소스 제품이며 동종 제품 중 가장 인기 있는 제품 중 하나입니다.Jenkins는 마치 서번트처럼 유용한 이름을 가지고 있기 때문에 많은 산업 분야의 개발팀에서 자동화 서버로 사용하는 것이 당연합니다.Jenkins가 제대로 작동한다면 매우 유용한 도구입니다.하지만 새로 발견된 결함과 최근에 밝혀진 암호화폐 채굴 작업 하나가 있습니다. 정말 엄청나네요 규모면에서 보면 Jenkins가 나쁜 사람들을 위해 많은 일을 하고 있었다는 것을 알 수 있습니다.
가장 위험한 Jenkins 취약점 중 하나는 Java 역직렬화입니다. 어느 것이 지정되어 있는지 CVE-2017-1000353 처럼.복잡한 공격이긴 하지만, 꽤 오래전부터 있었던 공격입니다.공격자는 요청을 두 번 제출해야 합니다.첫 번째 채널은 다운로드를 위한 양방향 채널을 시작하지만 처음에는 서버에서 거부합니다.하지만 두 번째 요청은 공격자가 원하는 모든 명령이 포함된 페이로드가 포함된 업로드 채널을 추가하고 payload.jar 스크립트를 활용합니다.두 번째 요청이 전송되면 패치가 적용되지 않은 Jenkins 서버에서의 통신이 허용됩니다.
패치가 적용된 서버에서도 익스플로잇이 존재합니다.예를 들어 Windows 환경에서 젠킨스를 실행할 때는 기본적으로 NT AUTHORITY\ SYSTEM 계정을 사용하여 사용자를 인증합니다.이는 시스템에는 Windows 서버에 대한 전체 권한이 부여되기 때문에 위험합니다.개발자는 기관 계정을 변경할 수 있지만 변경할 수 없는 경우가 많습니다.그렇게 하지 말라는 그들의 논리는 Jenkins가 영원히 존재해왔다는 사실에 근거합니다. 그래서 사람들은 모든 취약점이 오래전에 패치된 것으로 알고 있습니다.
가장 최근에는 해커가 노후화된 Jenkins 취약점을 이용해 여러 서버를 손상시켰습니다.목표는 발견할 수 있는 모든 취약한 Jenkins 인스턴스에 크립토 마이너 프로그램을 추가하는 것이었습니다.채굴자들은 끊임없이 암호화폐를 찾는 과정에서 귀중한 컴퓨팅 자원을 빼앗았습니다.지금까지 그들은 발견했다 약 10,800개의 모네로 크립토 코인으로, 가치는 거의 350만 달러에 달합니다.
오래된 것은 다시 새롭다
이 두 가지 예에서, 많은 사람들이 안전하다고 생각하는 플랫폼에서 기회주의적 공격자들이 취약점을 악용하고 있습니다.방어 측면에서는 보안을 고려한 개발 부재로 인해 이러한 해커들이 기존 트릭에 새 생명을 불어넣을 수 있습니다.노후화된 취약점을 이용한 새로운 성공에도 불구하고 많은 조직은 이러한 악순환을 막을 계획을 마련하지 못하고 있습니다.
오래된 것이 있다고 해서 해가 없는 것은 아닙니다.공용 라이브러리와 리소스가 수년 동안 사용되어 왔다고 해서 완전히 안전하다는 의미는 아닙니다 (예를 들어, 현재 OWASP 상위 10위 항목 중 9위 항목은 문제 해결에 전념하고 있습니다. 알려진 취약점이 있는 구성 요소 사용).오직 부지런함과 지속적인 보안 교육 지평선 너머로 밀려오는 위험한 위협뿐 아니라 이미 우리 집 뒷마당에 은밀하게 자리 잡은 위협으로부터 우리 자신을 보호할 수 있을까요?
사이버 보안 분야에서 우리는 종종 사냥꾼과 같습니다.우리의 눈은 지평선에 단단히 고정되어 다음 취약점을 찾아냅니다.하지만 이러한 미래 지향적인 초점은 전반적인 보안 인식을 약화시키는 놀라운 결과를 초래할 수 있습니다.
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
원래 게시일 데브옵스닷컴.
사이버 보안 분야에서 우리는 종종 사냥꾼과 같습니다.우리의 눈은 지평선에 단단히 고정된 채 다음 돌파 취약점을 찾고 있습니다 (이를 막기 위한 올바른 설계 도구, 기술 및 전술과 함께).하지만 이러한 미래 지향적인 관심은 우리의 전반적인 보안 인식을 약화시키고, 사방에 존재하는 뿌리 깊은 위험에 눈을 멀게 하는 놀라운 효과를 가져올 수 있습니다. 공격자들은 이를 악용하기가 너무 쉽기 때문입니다.
저는 종종 현대의 사이버 보안을 케블라 갑옷에 비유합니다.겉보기에 미묘해 보이는 케블라의 특성은 고속 탄환과 모든 종류의 현대적이고 강력한 무기를 차단할 수 있습니다.착용한 사람에게는 마치 무적처럼 느껴질 수도 있습니다.하지만 기원전 1000년경에 처음 제작된 비교적 오래된 활과 화살 무기 체계도 그 방어 체계를 뚫을 수 있는 경우가 많습니다.세계에서 바위 다음으로 두 번째로 오래된 무기인 날카로운 칼은 마치 면 스웨트셔츠를 갈가리 찢는 것처럼 쉽게 케블라 껍질을 자를 수 있습니다.그리고 케블라가 인체의 모든 1밀리미터를 보호하지 못한다는 작은 문제도 있습니다.공격자가 피해를 입힐 틈을 찾아내면 마치 소프트웨어의 작고 악용될 수 있는 영역과 매우 흡사합니다.
사이버 보안 분야에서도 마찬가지로 많은 조직이 8년 또는 10년 된 시스템의 결함에 취약합니다. 현대 컴퓨팅 용어로 보면 이러한 결함은 금시계와 연금을 받을 자격이 거의 있습니다.하지만 이러한 오래된 시스템의 결함이 무해하다고 생각한다면 아마도 미래에 죽음의 블루 스크린을 받게 될 것입니다.
퇴역 군인을 위한 취약점
가장 오래되고 가장 많이 사용되는 JavaScript 라이브러리 중 하나는 jQuery입니다. jQuery는 이벤트 처리부터 DOM 트리 탐색 및 조작, 애니메이션 생성에 이르기까지 모든 것을 지원하는 오픈 소스 리소스입니다.꽤 유용한 도구이며, 오랫동안 사용되어 왔습니다.사람들은 이 시점에서 라이브러리가 잘 구축되어 있기 때문에 모든 취약점을 제거하고 철저한 심사를 거쳤음에 틀림없다고 생각합니다.
안타깝게도 그렇지 않습니다.기본적으로 jQuery를 사용하는 대부분의 애플리케이션은 인증을 위해 내부 라이브러리의 지침을 사용합니다.예를 들어 Apache 서버에서는 이것은.htaccess 파일을 확인하는 것을 의미합니다.Apache를 사용하는 프로그램을 설계하는 개발자는 Apache 서버 업데이트에.htaccess가 포함되었는지 확인하려고 생각한 사람은 거의 없을 것입니다.결국 Apache는 수년 동안 보안의 기반이 되어 온 중요한 구성 요소를 왜 제거했을까요?
이상하게 보일지 모르지만, 이것이 바로 Apache가 버전 2.3.9에서 한 일입니다.분명히 프로그램을 실행해야 할 때마다.htaccess 구성 파일을 확인해야 했기 때문에 속도가 너무 느려진 것 같습니다.이를 제거하면 전반적인 Apache 성능이 향상되었지만 대부분의 사람들이 알지 못했던 취약점도 생겼습니다.개발자가 자신의 앱이 여전히.htaccess 파일에 도달할 수 있는지 확인하지 않는다면 대부분의 요청은 면밀한 조사 없이 그냥 받아들여질 것입니다.
최근 전문가들은 이 결함을 발견하고 이를 사용하면 권한이 없는 사용자가 셸이나 거의 모든 유형의 코드를 안전한 시스템에 업로드하고 실행할 수 있다는 점에 주목했습니다.이로 인해 10월에 CVE-2018-9206 이라는 취약성 경고가 생성되었습니다.하지만 보안 연구원이 이 결함을 쉽게 발견했다는 것은 이와 같은 취약점을 찾는 것이 유일한 목적인 전문 해커들이 이미 그 결함을 발견했을 가능성이 높다는 것을 의미합니다.그 여파로 패치와 수정이 널리 알려졌음에도 불구하고 불과 몇 주 후에 영향력이 큰 비슷한 공격이 일어났습니다. 비트코인 도둑질 악성코드 매주 수백만 명이 다운로드하는 인기 있는 NPM 라이브러리에 공개되었습니다.
집사가 해냈어
jQuery와 마찬가지로 Jenkins는 오픈 소스 제품이며 동종 제품 중 가장 인기 있는 제품 중 하나입니다.Jenkins는 마치 서번트처럼 유용한 이름을 가지고 있기 때문에 많은 산업 분야의 개발팀에서 자동화 서버로 사용하는 것이 당연합니다.Jenkins가 제대로 작동한다면 매우 유용한 도구입니다.하지만 새로 발견된 결함과 최근에 밝혀진 암호화폐 채굴 작업 하나가 있습니다. 정말 엄청나네요 규모면에서 보면 Jenkins가 나쁜 사람들을 위해 많은 일을 하고 있었다는 것을 알 수 있습니다.
가장 위험한 Jenkins 취약점 중 하나는 Java 역직렬화입니다. 어느 것이 지정되어 있는지 CVE-2017-1000353 처럼.복잡한 공격이긴 하지만, 꽤 오래전부터 있었던 공격입니다.공격자는 요청을 두 번 제출해야 합니다.첫 번째 채널은 다운로드를 위한 양방향 채널을 시작하지만 처음에는 서버에서 거부합니다.하지만 두 번째 요청은 공격자가 원하는 모든 명령이 포함된 페이로드가 포함된 업로드 채널을 추가하고 payload.jar 스크립트를 활용합니다.두 번째 요청이 전송되면 패치가 적용되지 않은 Jenkins 서버에서의 통신이 허용됩니다.
패치가 적용된 서버에서도 익스플로잇이 존재합니다.예를 들어 Windows 환경에서 젠킨스를 실행할 때는 기본적으로 NT AUTHORITY\ SYSTEM 계정을 사용하여 사용자를 인증합니다.이는 시스템에는 Windows 서버에 대한 전체 권한이 부여되기 때문에 위험합니다.개발자는 기관 계정을 변경할 수 있지만 변경할 수 없는 경우가 많습니다.그렇게 하지 말라는 그들의 논리는 Jenkins가 영원히 존재해왔다는 사실에 근거합니다. 그래서 사람들은 모든 취약점이 오래전에 패치된 것으로 알고 있습니다.
가장 최근에는 해커가 노후화된 Jenkins 취약점을 이용해 여러 서버를 손상시켰습니다.목표는 발견할 수 있는 모든 취약한 Jenkins 인스턴스에 크립토 마이너 프로그램을 추가하는 것이었습니다.채굴자들은 끊임없이 암호화폐를 찾는 과정에서 귀중한 컴퓨팅 자원을 빼앗았습니다.지금까지 그들은 발견했다 약 10,800개의 모네로 크립토 코인으로, 가치는 거의 350만 달러에 달합니다.
오래된 것은 다시 새롭다
이 두 가지 예에서, 많은 사람들이 안전하다고 생각하는 플랫폼에서 기회주의적 공격자들이 취약점을 악용하고 있습니다.방어 측면에서는 보안을 고려한 개발 부재로 인해 이러한 해커들이 기존 트릭에 새 생명을 불어넣을 수 있습니다.노후화된 취약점을 이용한 새로운 성공에도 불구하고 많은 조직은 이러한 악순환을 막을 계획을 마련하지 못하고 있습니다.
오래된 것이 있다고 해서 해가 없는 것은 아닙니다.공용 라이브러리와 리소스가 수년 동안 사용되어 왔다고 해서 완전히 안전하다는 의미는 아닙니다 (예를 들어, 현재 OWASP 상위 10위 항목 중 9위 항목은 문제 해결에 전념하고 있습니다. 알려진 취약점이 있는 구성 요소 사용).오직 부지런함과 지속적인 보안 교육 지평선 너머로 밀려오는 위험한 위협뿐 아니라 이미 우리 집 뒷마당에 은밀하게 자리 잡은 위협으로부터 우리 자신을 보호할 수 있을까요?
원래 게시일 데브옵스닷컴.
사이버 보안 분야에서 우리는 종종 사냥꾼과 같습니다.우리의 눈은 지평선에 단단히 고정된 채 다음 돌파 취약점을 찾고 있습니다 (이를 막기 위한 올바른 설계 도구, 기술 및 전술과 함께).하지만 이러한 미래 지향적인 관심은 우리의 전반적인 보안 인식을 약화시키고, 사방에 존재하는 뿌리 깊은 위험에 눈을 멀게 하는 놀라운 효과를 가져올 수 있습니다. 공격자들은 이를 악용하기가 너무 쉽기 때문입니다.
저는 종종 현대의 사이버 보안을 케블라 갑옷에 비유합니다.겉보기에 미묘해 보이는 케블라의 특성은 고속 탄환과 모든 종류의 현대적이고 강력한 무기를 차단할 수 있습니다.착용한 사람에게는 마치 무적처럼 느껴질 수도 있습니다.하지만 기원전 1000년경에 처음 제작된 비교적 오래된 활과 화살 무기 체계도 그 방어 체계를 뚫을 수 있는 경우가 많습니다.세계에서 바위 다음으로 두 번째로 오래된 무기인 날카로운 칼은 마치 면 스웨트셔츠를 갈가리 찢는 것처럼 쉽게 케블라 껍질을 자를 수 있습니다.그리고 케블라가 인체의 모든 1밀리미터를 보호하지 못한다는 작은 문제도 있습니다.공격자가 피해를 입힐 틈을 찾아내면 마치 소프트웨어의 작고 악용될 수 있는 영역과 매우 흡사합니다.
사이버 보안 분야에서도 마찬가지로 많은 조직이 8년 또는 10년 된 시스템의 결함에 취약합니다. 현대 컴퓨팅 용어로 보면 이러한 결함은 금시계와 연금을 받을 자격이 거의 있습니다.하지만 이러한 오래된 시스템의 결함이 무해하다고 생각한다면 아마도 미래에 죽음의 블루 스크린을 받게 될 것입니다.
퇴역 군인을 위한 취약점
가장 오래되고 가장 많이 사용되는 JavaScript 라이브러리 중 하나는 jQuery입니다. jQuery는 이벤트 처리부터 DOM 트리 탐색 및 조작, 애니메이션 생성에 이르기까지 모든 것을 지원하는 오픈 소스 리소스입니다.꽤 유용한 도구이며, 오랫동안 사용되어 왔습니다.사람들은 이 시점에서 라이브러리가 잘 구축되어 있기 때문에 모든 취약점을 제거하고 철저한 심사를 거쳤음에 틀림없다고 생각합니다.
안타깝게도 그렇지 않습니다.기본적으로 jQuery를 사용하는 대부분의 애플리케이션은 인증을 위해 내부 라이브러리의 지침을 사용합니다.예를 들어 Apache 서버에서는 이것은.htaccess 파일을 확인하는 것을 의미합니다.Apache를 사용하는 프로그램을 설계하는 개발자는 Apache 서버 업데이트에.htaccess가 포함되었는지 확인하려고 생각한 사람은 거의 없을 것입니다.결국 Apache는 수년 동안 보안의 기반이 되어 온 중요한 구성 요소를 왜 제거했을까요?
이상하게 보일지 모르지만, 이것이 바로 Apache가 버전 2.3.9에서 한 일입니다.분명히 프로그램을 실행해야 할 때마다.htaccess 구성 파일을 확인해야 했기 때문에 속도가 너무 느려진 것 같습니다.이를 제거하면 전반적인 Apache 성능이 향상되었지만 대부분의 사람들이 알지 못했던 취약점도 생겼습니다.개발자가 자신의 앱이 여전히.htaccess 파일에 도달할 수 있는지 확인하지 않는다면 대부분의 요청은 면밀한 조사 없이 그냥 받아들여질 것입니다.
최근 전문가들은 이 결함을 발견하고 이를 사용하면 권한이 없는 사용자가 셸이나 거의 모든 유형의 코드를 안전한 시스템에 업로드하고 실행할 수 있다는 점에 주목했습니다.이로 인해 10월에 CVE-2018-9206 이라는 취약성 경고가 생성되었습니다.하지만 보안 연구원이 이 결함을 쉽게 발견했다는 것은 이와 같은 취약점을 찾는 것이 유일한 목적인 전문 해커들이 이미 그 결함을 발견했을 가능성이 높다는 것을 의미합니다.그 여파로 패치와 수정이 널리 알려졌음에도 불구하고 불과 몇 주 후에 영향력이 큰 비슷한 공격이 일어났습니다. 비트코인 도둑질 악성코드 매주 수백만 명이 다운로드하는 인기 있는 NPM 라이브러리에 공개되었습니다.
집사가 해냈어
jQuery와 마찬가지로 Jenkins는 오픈 소스 제품이며 동종 제품 중 가장 인기 있는 제품 중 하나입니다.Jenkins는 마치 서번트처럼 유용한 이름을 가지고 있기 때문에 많은 산업 분야의 개발팀에서 자동화 서버로 사용하는 것이 당연합니다.Jenkins가 제대로 작동한다면 매우 유용한 도구입니다.하지만 새로 발견된 결함과 최근에 밝혀진 암호화폐 채굴 작업 하나가 있습니다. 정말 엄청나네요 규모면에서 보면 Jenkins가 나쁜 사람들을 위해 많은 일을 하고 있었다는 것을 알 수 있습니다.
가장 위험한 Jenkins 취약점 중 하나는 Java 역직렬화입니다. 어느 것이 지정되어 있는지 CVE-2017-1000353 처럼.복잡한 공격이긴 하지만, 꽤 오래전부터 있었던 공격입니다.공격자는 요청을 두 번 제출해야 합니다.첫 번째 채널은 다운로드를 위한 양방향 채널을 시작하지만 처음에는 서버에서 거부합니다.하지만 두 번째 요청은 공격자가 원하는 모든 명령이 포함된 페이로드가 포함된 업로드 채널을 추가하고 payload.jar 스크립트를 활용합니다.두 번째 요청이 전송되면 패치가 적용되지 않은 Jenkins 서버에서의 통신이 허용됩니다.
패치가 적용된 서버에서도 익스플로잇이 존재합니다.예를 들어 Windows 환경에서 젠킨스를 실행할 때는 기본적으로 NT AUTHORITY\ SYSTEM 계정을 사용하여 사용자를 인증합니다.이는 시스템에는 Windows 서버에 대한 전체 권한이 부여되기 때문에 위험합니다.개발자는 기관 계정을 변경할 수 있지만 변경할 수 없는 경우가 많습니다.그렇게 하지 말라는 그들의 논리는 Jenkins가 영원히 존재해왔다는 사실에 근거합니다. 그래서 사람들은 모든 취약점이 오래전에 패치된 것으로 알고 있습니다.
가장 최근에는 해커가 노후화된 Jenkins 취약점을 이용해 여러 서버를 손상시켰습니다.목표는 발견할 수 있는 모든 취약한 Jenkins 인스턴스에 크립토 마이너 프로그램을 추가하는 것이었습니다.채굴자들은 끊임없이 암호화폐를 찾는 과정에서 귀중한 컴퓨팅 자원을 빼앗았습니다.지금까지 그들은 발견했다 약 10,800개의 모네로 크립토 코인으로, 가치는 거의 350만 달러에 달합니다.
오래된 것은 다시 새롭다
이 두 가지 예에서, 많은 사람들이 안전하다고 생각하는 플랫폼에서 기회주의적 공격자들이 취약점을 악용하고 있습니다.방어 측면에서는 보안을 고려한 개발 부재로 인해 이러한 해커들이 기존 트릭에 새 생명을 불어넣을 수 있습니다.노후화된 취약점을 이용한 새로운 성공에도 불구하고 많은 조직은 이러한 악순환을 막을 계획을 마련하지 못하고 있습니다.
오래된 것이 있다고 해서 해가 없는 것은 아닙니다.공용 라이브러리와 리소스가 수년 동안 사용되어 왔다고 해서 완전히 안전하다는 의미는 아닙니다 (예를 들어, 현재 OWASP 상위 10위 항목 중 9위 항목은 문제 해결에 전념하고 있습니다. 알려진 취약점이 있는 구성 요소 사용).오직 부지런함과 지속적인 보안 교육 지평선 너머로 밀려오는 위험한 위협뿐 아니라 이미 우리 집 뒷마당에 은밀하게 자리 잡은 위협으로부터 우리 자신을 보호할 수 있을까요?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
원래 게시일 데브옵스닷컴.
사이버 보안 분야에서 우리는 종종 사냥꾼과 같습니다.우리의 눈은 지평선에 단단히 고정된 채 다음 돌파 취약점을 찾고 있습니다 (이를 막기 위한 올바른 설계 도구, 기술 및 전술과 함께).하지만 이러한 미래 지향적인 관심은 우리의 전반적인 보안 인식을 약화시키고, 사방에 존재하는 뿌리 깊은 위험에 눈을 멀게 하는 놀라운 효과를 가져올 수 있습니다. 공격자들은 이를 악용하기가 너무 쉽기 때문입니다.
저는 종종 현대의 사이버 보안을 케블라 갑옷에 비유합니다.겉보기에 미묘해 보이는 케블라의 특성은 고속 탄환과 모든 종류의 현대적이고 강력한 무기를 차단할 수 있습니다.착용한 사람에게는 마치 무적처럼 느껴질 수도 있습니다.하지만 기원전 1000년경에 처음 제작된 비교적 오래된 활과 화살 무기 체계도 그 방어 체계를 뚫을 수 있는 경우가 많습니다.세계에서 바위 다음으로 두 번째로 오래된 무기인 날카로운 칼은 마치 면 스웨트셔츠를 갈가리 찢는 것처럼 쉽게 케블라 껍질을 자를 수 있습니다.그리고 케블라가 인체의 모든 1밀리미터를 보호하지 못한다는 작은 문제도 있습니다.공격자가 피해를 입힐 틈을 찾아내면 마치 소프트웨어의 작고 악용될 수 있는 영역과 매우 흡사합니다.
사이버 보안 분야에서도 마찬가지로 많은 조직이 8년 또는 10년 된 시스템의 결함에 취약합니다. 현대 컴퓨팅 용어로 보면 이러한 결함은 금시계와 연금을 받을 자격이 거의 있습니다.하지만 이러한 오래된 시스템의 결함이 무해하다고 생각한다면 아마도 미래에 죽음의 블루 스크린을 받게 될 것입니다.
퇴역 군인을 위한 취약점
가장 오래되고 가장 많이 사용되는 JavaScript 라이브러리 중 하나는 jQuery입니다. jQuery는 이벤트 처리부터 DOM 트리 탐색 및 조작, 애니메이션 생성에 이르기까지 모든 것을 지원하는 오픈 소스 리소스입니다.꽤 유용한 도구이며, 오랫동안 사용되어 왔습니다.사람들은 이 시점에서 라이브러리가 잘 구축되어 있기 때문에 모든 취약점을 제거하고 철저한 심사를 거쳤음에 틀림없다고 생각합니다.
안타깝게도 그렇지 않습니다.기본적으로 jQuery를 사용하는 대부분의 애플리케이션은 인증을 위해 내부 라이브러리의 지침을 사용합니다.예를 들어 Apache 서버에서는 이것은.htaccess 파일을 확인하는 것을 의미합니다.Apache를 사용하는 프로그램을 설계하는 개발자는 Apache 서버 업데이트에.htaccess가 포함되었는지 확인하려고 생각한 사람은 거의 없을 것입니다.결국 Apache는 수년 동안 보안의 기반이 되어 온 중요한 구성 요소를 왜 제거했을까요?
이상하게 보일지 모르지만, 이것이 바로 Apache가 버전 2.3.9에서 한 일입니다.분명히 프로그램을 실행해야 할 때마다.htaccess 구성 파일을 확인해야 했기 때문에 속도가 너무 느려진 것 같습니다.이를 제거하면 전반적인 Apache 성능이 향상되었지만 대부분의 사람들이 알지 못했던 취약점도 생겼습니다.개발자가 자신의 앱이 여전히.htaccess 파일에 도달할 수 있는지 확인하지 않는다면 대부분의 요청은 면밀한 조사 없이 그냥 받아들여질 것입니다.
최근 전문가들은 이 결함을 발견하고 이를 사용하면 권한이 없는 사용자가 셸이나 거의 모든 유형의 코드를 안전한 시스템에 업로드하고 실행할 수 있다는 점에 주목했습니다.이로 인해 10월에 CVE-2018-9206 이라는 취약성 경고가 생성되었습니다.하지만 보안 연구원이 이 결함을 쉽게 발견했다는 것은 이와 같은 취약점을 찾는 것이 유일한 목적인 전문 해커들이 이미 그 결함을 발견했을 가능성이 높다는 것을 의미합니다.그 여파로 패치와 수정이 널리 알려졌음에도 불구하고 불과 몇 주 후에 영향력이 큰 비슷한 공격이 일어났습니다. 비트코인 도둑질 악성코드 매주 수백만 명이 다운로드하는 인기 있는 NPM 라이브러리에 공개되었습니다.
집사가 해냈어
jQuery와 마찬가지로 Jenkins는 오픈 소스 제품이며 동종 제품 중 가장 인기 있는 제품 중 하나입니다.Jenkins는 마치 서번트처럼 유용한 이름을 가지고 있기 때문에 많은 산업 분야의 개발팀에서 자동화 서버로 사용하는 것이 당연합니다.Jenkins가 제대로 작동한다면 매우 유용한 도구입니다.하지만 새로 발견된 결함과 최근에 밝혀진 암호화폐 채굴 작업 하나가 있습니다. 정말 엄청나네요 규모면에서 보면 Jenkins가 나쁜 사람들을 위해 많은 일을 하고 있었다는 것을 알 수 있습니다.
가장 위험한 Jenkins 취약점 중 하나는 Java 역직렬화입니다. 어느 것이 지정되어 있는지 CVE-2017-1000353 처럼.복잡한 공격이긴 하지만, 꽤 오래전부터 있었던 공격입니다.공격자는 요청을 두 번 제출해야 합니다.첫 번째 채널은 다운로드를 위한 양방향 채널을 시작하지만 처음에는 서버에서 거부합니다.하지만 두 번째 요청은 공격자가 원하는 모든 명령이 포함된 페이로드가 포함된 업로드 채널을 추가하고 payload.jar 스크립트를 활용합니다.두 번째 요청이 전송되면 패치가 적용되지 않은 Jenkins 서버에서의 통신이 허용됩니다.
패치가 적용된 서버에서도 익스플로잇이 존재합니다.예를 들어 Windows 환경에서 젠킨스를 실행할 때는 기본적으로 NT AUTHORITY\ SYSTEM 계정을 사용하여 사용자를 인증합니다.이는 시스템에는 Windows 서버에 대한 전체 권한이 부여되기 때문에 위험합니다.개발자는 기관 계정을 변경할 수 있지만 변경할 수 없는 경우가 많습니다.그렇게 하지 말라는 그들의 논리는 Jenkins가 영원히 존재해왔다는 사실에 근거합니다. 그래서 사람들은 모든 취약점이 오래전에 패치된 것으로 알고 있습니다.
가장 최근에는 해커가 노후화된 Jenkins 취약점을 이용해 여러 서버를 손상시켰습니다.목표는 발견할 수 있는 모든 취약한 Jenkins 인스턴스에 크립토 마이너 프로그램을 추가하는 것이었습니다.채굴자들은 끊임없이 암호화폐를 찾는 과정에서 귀중한 컴퓨팅 자원을 빼앗았습니다.지금까지 그들은 발견했다 약 10,800개의 모네로 크립토 코인으로, 가치는 거의 350만 달러에 달합니다.
오래된 것은 다시 새롭다
이 두 가지 예에서, 많은 사람들이 안전하다고 생각하는 플랫폼에서 기회주의적 공격자들이 취약점을 악용하고 있습니다.방어 측면에서는 보안을 고려한 개발 부재로 인해 이러한 해커들이 기존 트릭에 새 생명을 불어넣을 수 있습니다.노후화된 취약점을 이용한 새로운 성공에도 불구하고 많은 조직은 이러한 악순환을 막을 계획을 마련하지 못하고 있습니다.
오래된 것이 있다고 해서 해가 없는 것은 아닙니다.공용 라이브러리와 리소스가 수년 동안 사용되어 왔다고 해서 완전히 안전하다는 의미는 아닙니다 (예를 들어, 현재 OWASP 상위 10위 항목 중 9위 항목은 문제 해결에 전념하고 있습니다. 알려진 취약점이 있는 구성 요소 사용).오직 부지런함과 지속적인 보안 교육 지평선 너머로 밀려오는 위험한 위협뿐 아니라 이미 우리 집 뒷마당에 은밀하게 자리 잡은 위협으로부터 우리 자신을 보호할 수 있을까요?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
