ํ‹ฐ์Šคํ† ๋ฆฌ ๋ทฐ

๊ฐœ์š”

์ตœ๊ทผ ์นจํ•ด์‚ฌ๊ณ  ๋™ํ–ฅ(2021 OWASPํฌํ•จ)์„ ์œ ์‹ฌํžˆ ๋ณด์‹œ๋ฉด ์–ด๋–ค ๋ฌธ์ œ๋กœ ๋ฏผ๊ฐํ•œ ์ •๋ณด๊ฐ€ ์œ ์ถœ์ด ๋˜๋Š”์ง€ ์ถ”์ธกํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋Œ€ํ‘œ์ ์œผ๋กœ ์—”๋“œํฌ์ธํŠธ(End-Point)์— ๋Œ€ํ•œ ๋ณด์•ˆ์ด ์ œ๋Œ€๋กœ ๊ฐ–์ถฐ์ ธ์žˆ์ง€ ์•Š์€ ์ƒํƒœ๋กœ ์„œ๋น„์Šค๊ฐ€ ์ œ๊ณต๋˜์–ด ๊ณต๊ฒฉ์ž๋“ค์ด ์ด๋ฅผ ์•…์šฉํ•˜์—ฌ ํ‘œ๋ฉด์ƒ ์ ‘๊ทผํ•  ์ˆ˜ ์—†๋Š” ์˜์—ญ์— ๋ฌด๋‹จ์œผ๋กœ ์ง์ ‘ ์ ‘๊ทผ ์‚ฌ๋ก€๊ฐ€ ๋‹ค์ˆ˜ ๋ฐœ์ƒํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค.

 

์šฐ์„  API ๋Š” "Application Programming Interface"์˜ ์•ฝ์ž๋กœ ์›น์–ดํ”Œ๋ฆฌ์ผ€์ด์…˜์—์„œ ๋ฐ์ดํ„ฐ๋ฅผ ์ฃผ๊ณ ๋ฐ›๊ณ  ์ด๋ฅผ ์–ด๋–ค ๋ฐฉ์‹์œผ๋กœ ์š”์ฒญํ•˜๊ณ  ์ฒ˜๋ฆฌํ• ์ง€์— ๋Œ€ํ•ด ๊ทœ๊ฒฉ์„ ์ •ํ•ด๋†“์€ ์ธํ„ฐํŽ˜์ด์Šค๋ผ๊ณ  ๋ณด์‹œ๋ฉด ๋ฉ๋‹ˆ๋‹ค. ๊ทธ๋ฆฌ๊ณ  API ์ „์†ก์—๋Š” 2๊ฐ€์ง€์˜ ๋ฐฉ์‹์ด ์กด์žฌํ•ฉ๋‹ˆ๋‹ค.(SOAP/REST) REST๋ฐฉ์‹์€ "JSON"๋ฐฉ์‹์„ ํ†ตํ•ด ๋ฐ์ดํ„ฐ๋ฅผ ์ฒ˜๋ฆฌํ•˜๊ธฐ์— SOAP๋ณด๋‹ค ์†๋„๋ฉด์—์„œ ์ข€ ๋” ์šฐ์œ„๋ฅผ ์•ž์„œ๊ธฐ์— ์‚ฌ์šฉ๋นˆ๋„๊ฐ€ ๋†’์Šต๋‹ˆ๋‹ค.

 

์˜คํ”ˆ์†Œ์Šค์ธ ์•„ํ‹€๋ž€์‹œ์•„ ํ”Œ๋žซํผ์˜ ๊ฒฝ์šฐ์—๋„ ์ด๋Ÿฌํ•œ ์ทจ์•ฝ์  ์žˆ์Šต๋‹ˆ๋‹ค. ์ผ๋ฐ˜์ ์œผ๋กœ ์˜คํ”ˆ์†Œ์Šค ํ˜•ํƒœ๋กœ ์ œ๊ณต์ด ๋˜๋Š” ํ”Œ๋žซํผ์€ ์•ก์„ธ์Šค ์ ‘๊ทผ์ด ๋ฏธํกํ•œ End-Point ์˜์—ญ์„ ์‹๋ณ„ํ•˜๊ธฐ๋ž€ ๊ทธ๋ฆฌ ์–ด๋ ค์šด ๋ฌธ์ œ๋Š”(Fuzzing or IDEA ๋””๋ฒ„๊น…) ์•„๋‹ˆ๊ธฐ ๋•Œ๋ฌธ์— ์ž์ฃผ ๊ณต๊ฐœ๋˜๋Š” ๊ฒƒ ๊ฐ™์Šต๋‹ˆ๋‹ค.

 

Group and User Picker(CVE-2019-8449)

์•„ํ‹€๋ž€์‹œ์•„ ์ง€๋ผ์˜ 8.4.0 ์ด์ „ ๋ฒ„์ „์„ ์‚ฌ์šฉํ•  ๊ฒฝ์šฐ ์—”๋“œํฌ์ธํŠธ์ธ /rest/api/latest/groupuserpicker ๋ฆฌ์†Œ์Šค๋ฅผ ํ†ตํ•ด ์›๊ฒฉ์—์„œ ๊ณต๊ฒฉ์ž๊ฐ€ ์‚ฌ์šฉ์ž ์ด๋ฆ„์„ ์—ด๊ฑฐํ•  ์ˆ˜ ์žˆ๋Š” ์ทจ์•ฝ์ ์ž…๋‹ˆ๋‹ค.

 

์ทจ์•ฝ์ ์„ ํ…Œ์ŠคํŠธํ•˜๊ธฐ ์ „์— ํ•ด๋‹นํ•˜๋Š” ๋ฒ„์ „์ธ์ง€ ์ •๋ณด์ˆ˜์ง‘์ด ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค. ํŽ˜์ด์ง€ ์ œ์ผ ํ•˜๋‹จ ๋ผ์ด์„ ์Šค ์˜์—ญ์„ ๋ณด์‹œ๊ฑฐ๋‚˜ HTML ์ฝ”๋“œ ๋‚ด๋ถ€๋ฅผ ํ™•์ธํ•˜์‹œ๋ฉด ๋ฉ๋‹ˆ๋‹ค.

 

 HTML์ฝ”๋“œ๋ฅผ ์‚ดํŽด๋ณด๋‹ค ๋ณด๋ฉด /rest/api/ ์˜ ์œ„์น˜๊ฐ€ ํ™•์ธ๋ฉ๋‹ˆ๋‹ค. 1.0 ์ดํ›„๋ถ€ํ„ฐ๋Š” ์ƒ๋Œ€ ์ฃผ์†Œ๊ณ  ์ œ์ผ ์•ž๋‹จ /rest/api๋Š” ์ ˆ๋Œ€ ๊ฒฝ๋กœ์ธ ๊ฒƒ์œผ๋กœ ์ถ”์ธก๋ฉ๋‹ˆ๋‹ค.

 

์•„ํ‹€๋ž€์‹œ์•„ ๋ฟ๋งŒ ์•„๋‹ˆ๋ผ ๋Œ€๋ถ€๋ถ„์˜ ๊ธฐ์—…์—์„œ ์˜คํ”ˆ API๋ฅผ ์ œ๊ณตํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ๋ฆฌ์†Œ์Šค์— ๋”ฐ๋ฅธ API ๊ธฐ๋Šฅ์„ ํ™•์ธํ•˜๊ณ  ์‹ถ์œผ์‹œ๋ฉด ๋ณดํ†ต ๊ฐœ๋ฐœ์ž๋“ค์ด ํ™•์ธํ•  ์ˆ˜ ์žˆ๋Š” developer ์‚ฌ์ดํŠธ์— ๋ช…์‹œ๋˜์–ด ์žˆ์Šต๋‹ˆ๋‹ค.

 

/rest/api/ ์™€ ๊ด€๋ จ๋œ ๊ธฐ๋Šฅ๋“ค์„ ์‚ดํŽด๋ณด๋‹ค๊ฐ€ ์‚ฌ์šฉ์ž์˜ ์ด๋ฆ„๊ณผ ํ•ด๋‹นํ•˜๋Š” ๊ทธ๋ฃน์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋Š” ๋ฆฌ์†Œ์Šค๊ฐ€ ์กด์žฌํ•ฉ๋‹ˆ๋‹ค. "groupuserpick"์˜ ๋ฆฌ์†Œ์Šค์—๋Š” ์ด๋ฆ„๊ณผ ํ”„๋กœํ•„, ์ด๋ฉ”์ผ ๋“ฑ ์™ธ๋ถ€์— ๋…ธ์ถœ๋˜์ง€ ๋ง์•„์•ผ ํ•  ์ •๋ณด๋“ค์ด ํฌํ•จ๋ผ์žˆ์ง€๋งŒ ์ด๊ฒŒ ์˜คํ”ˆํ˜•ํƒœ์˜ API๋ผ๋Š” ์ ์—์„œ ์ทจ์•ฝํ•ฉ๋‹ˆ๋‹ค.

 

groupuserpicker ๋ฆฌ์†Œ์Šค์— ๋Œ€ํ•œ ์ฟผ๋ฆฌํ˜ธ์ถœ ๋ฐฉ๋ฒ•์ž…๋‹ˆ๋‹ค. /rest/api/ ์™€ groupuserpicke๋Š” ์ ˆ๋Œ€ ์ฃผ์†Œ์ด๋ฉฐ ์‚ฌ์ด์˜ ๋ฒ„์ „์œผ๋กœ ํ™•์ธ๋˜๋Š” ์ˆซ์ž๋Š” ์ƒ๋Œ€์ ์ธ ์ฃผ์†Œ์ž…๋‹ˆ๋‹ค. ๋งŒ์•ฝ ์ƒ๋Œ€ ์ฃผ์†Œ๋ฅผ ์•Œ๊ธฐ๊ฐ€ ์–ด๋ ต๋‹ค๋ฉด ๊ฐœ๋ฐœ ํŽ˜์ด์ง€๋ฅผ ์ข€ ๋” ๋’ค์ ธ๋ณด์‹œ๊ฑฐ๋‚˜ ์•„๋‹ˆ๋ฉด GHDB ํ‚ค์›Œ๋“œ๋ฅผ ํ†ตํ•ด ์™ธ๋ถ€์— ์กด์žฌํ•˜๋Š” ๋ชจ๋“  ์‚ฌ์ดํŠธ๋“ค์„ ์ฐธ๊ณ ํ•˜์‹œ๋ฉด ์ถ”์ธก์ด ๊ฐ€๋Šฅํ•˜์‹œ๊ฒ ์ฃ 

 

์ด์ œ ๊ณต๊ฒฉ์ž์˜ ์ž…์žฅ์—์„œ ํ…Œ์ŠคํŠธ๋ฅผ ํ•ด๋ณด๊ฒ ์Šต๋‹ˆ๋‹ค. ํ‘œ๋ฉด์ƒ์—๋Š” ๋‹น์—ฐํžˆ ๋ฏผ๊ฐํ•œ ์ •๋ณด๋ฅผ ์ „๋‹ฌํ•˜๋Š” End-Point์˜์—ญ์€ ๋…ธ์ถœ๋˜์ง€ ์•Š์Šต๋‹ˆ๋‹ค. ๋งŒ์•ฝ ์ฟผ๋ฆฌ์ „๋‹ฌ ๋ฐฉ์‹์ด๋ฉด ํ”„๋ก์‹œ๋ฅผ ํ†ตํ•ด FORMํ˜•ํƒœ๋กœ ์ „๋‹ฌํ•˜๋ฉด ๋˜๊ฒ ์ง€๋งŒ GET๋ฐฉ์‹์„ ์‚ฌ์šฉํ•˜๊ธฐ์— URL ์ง์ ‘ ์ ‘๊ทผ์ด ๊ฐ€๋Šฅํ•ฉ๋‹ˆ๋‹ค.

 

์šฐ์„ ์ ์œผ๋กœ ์—”๋“œํฌ์ธํŠธ์— ์ ‘๊ทผ์ด ๊ฐ€๋Šฅํ•œ์ง€ ๋งค๊ฐœ๋ณ€์ˆ˜๋ฅผ ์ œ์™ธํ•˜๊ณ  ์ ‘๊ทผํ•ด๋ดค์Šต๋‹ˆ๋‹ค.์‚ฌ์šฉ์ž์˜ ์ด๋ฆ„์„ ์ž…๋ ฅํ•ด์•ผ ๋˜๋Š” ํŒŒ๋ผ๋ฏธํ„ฐ(query)๊ฐ€ ์กด์žฌํ•˜์ง€ ์•Š์•„ ์—๋Ÿฌ๊ฐ€ ๋ฐœ์ƒํ–ˆ๋‹ค๋Š” ๊ฒƒ์œผ๋กœ ๋ณด์•„ ์›๊ฒฉ์ง€์—์„œ ํ˜ธ์ถœ์ด ๊ฐ€๋Šฅํ•  ๊ฒƒ์œผ๋กœ ๋ณด์ž…๋‹ˆ๋‹ค.

 

http://atlassian.com/rest/api/latest/groupuserpicker?query={Username}

์ž„์˜ ์‚ฌ์šฉ์ž ์ด๋ฆ„ ์ฟผ๋ฆฌ ํŒŒ๋ผ๋ฏธํ„ฐ์— ๋‹ด์•„ ์ „์†กํ•ด๋ณด๋ฉด ์‚ฌ์šฉ์ž์˜ ์ด๋ฆ„๊ณผ ์†Œ์†ํ•œ ๊ทธ๋ฃน, ์ด๋ฉ”์ผ ๋“ฑ ์œ ์ถ”ํ•  ์ˆ˜ ์—†๋Š” ์ถ”๊ฐ€์ •๋ณด๋“ค์„ json ํ˜•์‹์œผ๋กœ ์—ด๊ฑฐํ•˜์—ฌ ๋ธŒ๋ผ์šฐ์ € ํ™”๋ฉด์— ๋‚˜ํƒ€๋‚ด ์ฃผ๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ๋งŒ์•ฝ ์กด์žฌํ•˜์ง€ ์•Š๋Š” ์‚ฌ์šฉ์ž์˜ ์ด๋ฆ„์„ ์—ด๊ฑฐํ•  ๊ฒฝ์šฐ ์œ„์ฒ˜๋Ÿผ ๋นˆ๊ณต๋ž€ ๋˜๋Š” "0"์„ ๋ฐ˜ํ™˜ํ•˜๊ฒŒ ๋ฉ๋‹ˆ๋‹ค.

 

์œ ํšจํ•œ ๊ณ„์ •์œผ๋กœ ํ˜ธ์ถœ์„ ํ•ด๋ณด๋ฉด ๋“ฑ๋ก๋œ ์ •๋ณด๋“ค์„ ์ถœ๋ ฅํ•ด์ฃผ๊ฒŒ ๋ฉ๋‹ˆ๋‹ค. ์ด๋ฅผ ํ† ๋Œ€๋กœ ์ง์ ‘์ ์œผ๋กœ ๋ฐ”๋กœ ์˜ํ–ฅ์ด ๋ฐœ์ƒํ•˜์ง„ ์•Š์ง€๋งŒ ํš๋“ํ•œ ID, Email์„ ํ†ตํ•œ ํŒจ์Šค์›Œ๋“œ BruteForce, ํ”ผ์‹ฑ ์ด๋ฉ”์ผ ๋ฐœ์†ก ๋“ฑ ์—ฌ๋Ÿฌ ์‹œ๋‚˜๋ฆฌ์˜ค์ ์ธ ์นจํˆฌ ๊ณต๊ฒฉ์— ์ข‹์€ ๋ฐ‘๊ฑฐ๋ฆ„์ด ๋  ๊ฐ€๋Šฅ์„ฑ์ด ์žˆ์Šต๋‹ˆ๋‹ค.

 

Burp์˜ ์ธํŠธ๋ฃจ๋”๊ธฐ๋Šฅ์„ ์ด์šฉํ•˜๊ฑฐ๋‚˜ Python ์ž๋™ํ™”๋ฅผ ์ง„ํ–‰ํ•˜๋ฉด ์œ ํšจํ•œ ๊ณ„์ •๋“ค์„ ์ถ”์ธกํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ์˜๋ขฐ๋ฐ›์€ ์‚ฌ์ดํŠธ๋ฅผ ๋Œ€์ƒ์œผ๋กœ ํ™•์ธํ•ด๋ณด๋‹ˆ guleum ๋˜๋Š” GULEUM, ZONE, administrator ๋นผ๊ณ ๋Š” ๋ชจ๋‘ ์œ ํšจํ•œ ๊ณ„์ •๋“ค๋กœ ํ™•์ธ๋ฉ๋‹ˆ๋‹ค.

 

Username Enumerator/Validator(CVE-2020-14181)

Atlassian Jira ์„œ๋ฒ„ ๋ฐ Data Center์—์„œ ์ธ์ฆ๋˜์ง€ ์•Š์€ ์‚ฌ์šฉ์ž๊ฐ€ /ViewUserHover.jspa ์—”๋“œํฌ์ธํŠธ์— ์ •๋ณด ๊ณต๊ฐœ ์ทจ์•ฝ์ ์„ ์•…์šฉํ•˜์—ฌ ์กด์žฌํ•˜๋Š” ์‚ฌ์š”์ž๋“ค์„ ์—ด๊ฑฐํ•  ์ˆ˜ ์žˆ๋Š” ์ทจ์•ฝ์ ์ž…๋‹ˆ๋‹ค.

 

<์ทจ์•ฝํ•œ ๋ฒ„์ „>
7.13.6 ์ด์ „
8.0.0 ~ 8.5.7 ์ด์ „
8.6.0 ~ 8.12.0 ์ด์ „

์•„ํ‹€๋ผ์‹œ์•ˆ์˜ ๋ฒ„์ „์„ ์‹๋ณ„ํ•˜์—ฌ ์ทจ์•ฝ์ ์ด ์กด์žฌํ•˜๋Š” ๋ฒ„์ „์ธ์ง€ ์•„๋‹Œ์ง€๋ฅผ 1์ฐจ์ ์œผ๋กœ ํ™•์ธํ•ฉ๋‹ˆ๋‹ค. ํ˜„์žฌ ๋ฒ„์ „์€ 7.0.4๋กœ ์ทจ์•ฝ์ ์— ๋…ธ์ถœ์ด๋˜์–ด ์žˆ๋Š” ๋ฒ„์ „์„ ์‚ฌ์šฉํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค.

 

๋งŒ์•ฝ ๊ณต๊ฒฉ๋ฒกํ„ฐ๋ฅผ ๊ณต๊ฐœํ•˜์ง€ ์•Š์•˜์„ ๊ฒฝ์šฐ์—๋Š” Github์— ์˜ฌ๋ ค์ง„ ๊ณต๊ฒฉ์ฝ”๋“œ๋ฅผ ๋ณด์‹œ๊ฑฐ๋‚˜ EPDB(Exploit DataBase) ์ชฝ์„ ์ฐพ์•„๋ณด์‹œ๋ฉด ๋„์›€์ด ๋ฉ๋‹ˆ๋‹ค. ํ˜„์žฌ ๊ณต๊ฒฉ ๋ฒกํ„ฐ ๋Š” /secure/ViewUserHover.jsp์ด๋ฉฐ ๋งค๊ฐœ๋ณ€์ˆ˜๋Š” "username"์„ ์‚ฌ์šฉํ•˜์—ฌ ๋ฆฌ์†Œ์Šค๋ฅผ ์ฒญํ•ฉ๋‹ˆ๋‹ค.

 

๋กœ๊ทธ์ธ์ด ์ˆ˜ํ–‰๋˜์ง€ ์•Š์€ ๊ณต๊ฒฉ์ž ํ™˜๊ฒฝ์—์„œ URL ์ง์ ‘ ์ ‘๊ทผ์„ ํ•ด๋ณด์‹œ๋ฉด ์œ„์™€ ๊ฐ™์€ ์˜๋ฌธ์˜ ๋งํฌ๊ฐ€ ํ‘œ์‹œ๋ฉ๋‹ˆ๋‹ค. ์‚ฌ๊ฐํ˜• ์˜์—ญ์œผ๋กœ ๋ณด์•„ ์‚ฌ์šฉ์ž์˜ ํ”„๋กœํ•„์ด ์ถœ๋ ฅ๋˜๋Š” ์˜์—ญ์œผ๋กœ ํŒ๋‹จ๋ฉ๋‹ˆ๋‹ค.

 

์œ ํšจํ•œ ์‚ฌ์šฉ์ž๋ฅผ ํ˜ธ์ถœํ•ด๋ณด๋ฉด ์œ„์™€ ๊ฐ™์ด ๋„ค์ด๋ฐ์ด ๋งค์นญ๋˜์–ด ๊ทธ์˜ ๋”ฐ๋ฅธ ์ •๋ณด๋ฅผ ํ™”๋ฉด์— ์ถœ๋ ฅํ•ด์ฃผ๊ฒŒ ๋ฉ๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ํ˜ธ์ถœ ๋ฐฉ์‹์€ ์˜คํ”ˆ ํ˜•ํƒœ์ด๋ฉฐ ์‚ฌ์ „์— ๋กœ๊ทธ์ธ ์ž‘์—…์ด ํ•„์š” ์—†๊ธฐ ๋•Œ๋ฌธ์— ์™ธ๋ถ€์˜ ๊ณต๊ฒฉ์ž๊ฐ€ ๋ฌด๋‹จ์œผ๋กœ ์š”์ฒญํ•  ๊ฐ€๋Šฅ์„ฑ์ด ๋†’์Šต๋‹ˆ๋‹ค.

 

์œ ํšจํ•œ ์‚ฌ์šฉ์ž์™€ ์•„๋‹Œ ์‚ฌ์šฉ์ž์˜ ์ฐจ์ด์ ์„ ํ™•์ธํ•˜๊ธฐ ์œ„ํ•ด ํŒŒ์ผํ˜•ํƒœ๋กœ ์ €์žฅํ•ด๋ณด๊ฒ ์Šต๋‹ˆ๋‹ค.

 

์œ„์ฒ˜๋Ÿผ ์กด์žฌํ•˜๋Š” ์‚ฌ์šฉ์ž์ผ ๊ฒฝ์šฐ <div class="user-hover-details"> ์˜์—ญ์— ํ”„๋กœํ•„ ๋งํฌ๊ฐ€ ๋‹ด๊ธฐ๊ฒŒ ๋˜๊ณ  ์•„๋‹ ๊ฒฝ์šฐ์—๋Š” "User does not exists:"๋ฅผ ์ถœ๋ ฅํ•˜๊ฒŒ ๋ฉ๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ์ฐจ์ด์ ์ด ๋ช…ํ™•ํ•  ๊ฒฝ์šฐ์—๋Š” ์ž๋™ํ™” ๊ณต๊ฒฉ์„ ์ˆ˜ํ–‰ํ•˜์—ฌ ๋‚ด๋ถ€์— ์กด์žฌํ•˜๋Š” ๋‹ค์ˆ˜์˜ ์‚ฌ์šฉ์ž๋“ค์„ ์—ด๊ฑฐํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

 

ํ…Œ์ŠคํŠธ๋ฅผ ์ง„ํ–‰ํ•˜๊ธฐ ์œ„ํ•ด ์•ฝ 27๋ช…์˜ ์‚ฌ์šฉ์ž ๋ฆฌ์ŠคํŠธ๋“ค์„ ๋งŒ๋“ค์–ด๋‘๊ฒ ์Šต๋‹ˆ๋‹ค.

 

username ๋ณ€์ˆ˜์— ์‚ฌ์šฉ์ž ์ด๋ฆ„์„ ๋‹ด์•„ ํ•˜๋‚˜์”ฉ ์š”์ฒญํ•˜์—ฌ <a id="avatar-full-name-link ๊ฐ€ ์กด์žฌํ•  ๊ฒฝ์šฐ ์œ ํšจํ•œ ์‚ฌ์šฉ์ž๋กœ ํŒ๋‹จํ•˜์—ฌ ์œ„์ฒ˜๋Ÿผ ์ฝ˜์†”์— ๋‚˜ํƒ€๋‚˜๊ฒŒ ๋ฉ๋‹ˆ๋‹ค. ์ž๋™ํ™”์ฝ”๋“œ๋Š” ์•„๋ž˜์˜ ์ฃผ์†Œ๋ฅผ ์ฐธ๊ณ ํ•˜์‹œ๋ฉด ๋ฉ๋‹ˆ๋‹ค.

https://raw.githubusercontent.com/Rival420/CVE-2020-14181/main/cve-2020-1481.py

 

๋Œ€์‘๋ฐฉ์•ˆ

<Group and User Picker>
ํ•ด๋‹น ์ทจ์•ฝ์ ์„ ์˜ˆ๋ฐฉํ•˜๊ธฐ์œ„ํ•ด 8.4.0 ์ด์ƒ์˜ ๋ฒ„์ „์œผ๋กœ ์—…๋ฐ์ดํŠธ ํ•˜๋Š”๊ฒƒ์ด ์ข‹์ง€๋งŒ ๋งŒ์•ฝ ํŒจ์น˜๊ฐ€ ๋ถˆ๊ฐ€๋Šฅํ•œ ์ƒํ™ฉ์ด๋ผ๋ฉด ํ•ด๋‹น ์—”๋“œํฌ์ธํŠธ์— ์ ‘๊ทผ ์‹œ ํ†ฐ์บฃ์—์„œ 403(Forbidden)์„ ๋ฐ˜ํ™˜ํ•˜๋„๋ก ์ฐจ๋‹จํ•˜๋Š” ๊ฒƒ์ด ์ข‹์Šต๋‹ˆ๋‹ค.
<jira-installation-directory>/atlassian-jira/WEB-INF/urlrewrite.xml ํŒŒ์ผ์— ์•„๋ž˜์˜ ์ฝ”๋“œ ์ถ”๊ฐ€
<rule>
        <condition type="session-attribute" name="seraph_defaultauthenticator_user" operator="notequal">.    </condition>
        <from>^(?s)/rest/api/.*/groupuserpicker</from> //์—”๋“œํฌ์ธํŠธ ์ง€์ •
        <set type="status">403</set> <to>null</to>
</rule>

Result --> ๋ณด์•ˆํŒจ์น˜๊ฐ€ ์ง„ํ–‰๋œ ๋ฒ„์ „์—์„œ ์œ„์˜ ๊ณต๊ฒฉ์„ ์‹œ์—ฐํ•  ๊ฒฝ์šฐ ์‘๋‹ต ๋ฐ”๋””์— ์•„๋ž˜์˜ ๋ฉ”์‹œ์ง€๊ฐ€ ์ถœ๋ ฅ๋˜๋ฉด์„œ ์•ก์„ธ์Šค ๋ถˆ๊ฐ€ You are not authenticated. Authentication required to perform this operation.

<Username Enumerator/Validator>
์ˆ˜์ •๋œ ๋ฒ„์ „์œผ๋กœ ์—…๋ฐ์ดํŠธํ•˜๊ฑฐ๋‚˜ urlrewrite.xml์— ์—”๋“œํฌ์ธํŠธ ์ง€์ •ํ•˜์—ฌ ์ ‘๊ทผ์ด ๋ถˆ๊ฐ€๋Šฅํ•˜๋„๋ก ์„ค์ •
7.13.16
8.5.7
8.12.0

'WEB' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

Log4j ์ทจ์•ฝ์ (CVE-2021-44228)  (0) 2021.12.23
Atlassian RCE ์ทจ์•ฝ์   (0) 2021.09.12
Atlassian XSS ์ทจ์•ฝ์   (0) 2021.09.10
phpMyAdmin ์ทจ์•ฝ์  ์•…์šฉ  (0) 2021.08.23
Subdomain Takeover ์ทจ์•ฝ์   (0) 2021.04.18
๊ณต์œ ํ•˜๊ธฐ ๋งํฌ
Comment