아틀라시안(Attlassian)이 지난 2월 1일(현지 시각) 지라 서비스 매니지먼트 서버(Jira Management Server)와 데이터 센터에서 발견된 ‘심각(critical)’ 수준의 취약점을 수정하는 패치를 배포했다.
이 취약점은 잠재적 공격자가 사용자를 사칭하고 액세스 토큰(access token)에 접근할 수 있을 만큼 심각하다. 게다가 만일 시스템이 퍼블릭 사인업(public sign-up)을 허용한다면 외부에서 접근하는 사용자도 이 취약점에 노출될 수 있다.
이 취약점 버그는 지라 서비스 매니지먼트 서버(Jira Management Server)와 데이터 센터 버전 5.3.0에서 발견됐다. 따라서 다음 버전이 모두 취약점에 노출된다:
- 5.3.0
- 5.3.1
- 5.3.2
- 5.4.0
- 5.4.1
- 5.5.0
아틀라시안은 영향을 받은 시스템 중 업데이트하기 어려운 시스템을 위해 대체할 수 있는 JAR 파일을 제공하기도 했다.
외부 사용자 ‘이슈’ 이메일이 취약점
아틀라시안에 따르면 이 취약점(CVE-2023-22501)은 사용자 인증 및 요청 과정에서 발생하는 문제며 심각한(critical) 수준으로 분류된다.
보안 권고사항에 업체 측은 “만약 쓰기 권한을 가진 사용자가 사용자 인증 및 요청 관련 이메일을 보내도록 설정된 지라 인스탄스를 사용한다면 액세스 토큰을 확보할 수 있다”라며 “공격자는 크게 2가지 방식을 토큰을 얻을 수 있다. 공격자가 로그인하지 않은 사용자와 같이 지라 이슈 알림 및 요청을 받거나, ‘요청 보기’ 링크 이메일에 접근하거나 이런 이메일을 전달받으면 액세스 토큰을 얻을 수 있다”라고 말했다.
아틀라시안은 지라 서비스 매니지먼트 서비스용 봇 계정이 특히 이런 공격에 취약하다고 강조했다. 이 취약점이 읽기 권한만 제공하는 유저 디렉토리나 SSO에 영향을 주지 않더라도, SSO가 활성화된 인스탄에서 이메일을 사용하는 경우 얼마든지 취약점에 노출될 수 있다.
지라 서비스 매니지먼트(JSM)는 IT, HR, 재무, 고객 서비스 등 여러 부서에 걸친 헬프 데스크를 통합하고 관리하도록 도와주는 플랫폼 소프트웨어다. 기업이 자산 관리, 재고 관리, 소유권 및 라이프 사이클 추적하도록 돕고, IT 팀은 이를 활용해 인프라을 구성하고 서비스 종속성을 추적할 수 있다.
이 플랫폼이 다양한 기능을 지원하는 만큼 수많은 직원과 외부 사용자에게 계정 권한이 부여되는 경우가 잦다. 그만큼 취약성도 높다.
회사는 JSM 외부 계정을 허용하지 않는 기업이라도 새 보안 업데이트를 시급히 적용해야 한다고 강조했다.
한편 2022년 10월에는 지라 얼라인(Jira Align)에서 두 개의 취약점들이 발견됐다. 공격자들이 몇 가지 아틀라시안 서비스를 공격할 수 있게 해 주는 취약점인 것으로 드러났으며, 이때도 회사는 발맞춰 패치를 배포했다. dl-ciokorea@foundryco.com
