Banner

안녕하세요, 디무브입니다! 🎈

유니코드(Unicode) 시스템과 관련하여 악의적인 목적인 소스코드를 주입할 수 있는 취약점인 CVE-2021-42574이 아틀라시안의 여러 제품에 영향을 줄 수 있음이 확인되었습니다.

해당 취약점은 유니코드의 자체 제어 장치에 악성 코드를 심는 트로얀 소스를 삽입하는 공격 기법으로 적용 시 사람의 눈과 코드 편집기, 컴파일러를 모두 피해 악성 코드를 적용할 수 있습니다.

유니코드는 거의 모든 시스템에서 ‘복사 및 붙여넣기’ 기능을 통해서도 간편하게 옮겨집니다.

특히 깃허브 등을 통해 공유되는 코드들은 ‘복사 및 붙여넣기’를 통해 코드의 정상적인 부분을 실행했을 뿐인데 자기도 모르게 악성 코드까지 심을 수 있는 위험이 있습니다.

트로얀 소스 공격은 C, C++, C#, JavaScript, Java, Rust, Go, Python 언어 등 많은 프로그래밍 언어에서 코멘트와 문자열 안에 악의적 목적을 가진 유니코드 소스코드를 삽입함으로써 실제 소스코드의 로직을 변경하지 않으면서도 독자적인 멀웨어를 설치할 수 있습니다.

즉, 사람들의 눈에도 띄지 않고 컴파일러도 속일 수 있으며, 심지어 보안 솔루션들의 방어 기법도 높은 확률로 방어를 피해 갈 수 있는 공격 기법입니다.

다행히 아직까지 트로얀 소스를 삽입하여 공격하는 시도는 발견되지 않았으며 아틀라시안에서는 이 문제를 해결하기 위해 코드 편집기와 컴파일러를 패치하여 문제가 발생하지 않도록 조취를 취하고 있습니다.

따라서 아직 보안 패치가 완료되지 않은 제품에 대해 해당 제품을 사용하시는 고객 분들께서는 긴급 패치 작업이 필요합니다. 아틀라시안 관리자 및 보안 담당자께서는 사용 중이신 아틀라시안 제품의 서버 및 데이터센터의 버전을 확인 하신 후 업그레이드 작업을 통해 해당 취약점으로부터의 공격에 대응하시길 권장 드립니다.

취약점의 영향을 받는 제품과 문제를 수정한 버전은 하단의 표를 참고해주세요.


CVE-2021-42574 취약점의 영향을 받는 제품 및 버전

제품 버전
Confluence Server 및 Data Center 7.4.13 미만의 전체 버전
7.5.0 ~ 7.12.5 까지의 버전
7.13.2 미만의 전체 LTS 버전
7.14.0 버전
Jira Software Server 및 Data Center 8.13.13 미만의 전체 버전
8.14.0 ~ 8.19.1 까지의 버전
8.20.1 미만의 전체 LTS 버전
Jira Service Management Server and Data Center 4.13.13 아래의 전체 버전
4.14.0 ~ 4.19.1 까지의 버전
4.20.0 아래의 전체 LTS 버전
Insight Asset Management
(Jira Service Management의 애드온)
8.9.4 미만의 전체 버전
Bitbucket Server 및 Data Center 버전 6.10.14 미만의 전체 버전
7.0.0 ~ 7.5.2 까지의 버전
7.6.10 미만의 7.6.대의 전체 LTS 버전
7.7.0 ~ 7.16.1 까지의 버전
7.17.1 아래의 전체 LTS 버전
Bamboo Server 및 Data Center 8.0.4 미만의 전체 버전
Crucible Server 4.8.8 미만의 전체 버전
Fisheye Server 4.8.8 미만의 전체 버전

CVE-2021-42574 취약점에 대한 패치가 완료된 제품 및 버전

제품 버전
Confluence Server 및 Data Center 7.4.13 버전
7.13.2 버전
7.14.1 버전
Jira Software Server 및 Data Center 8.13.13 버전
8.20.1 버전
Jira Service Management Server and Data Center 4.13.13 버전
4.20.1 버전
Insight Asset Management
(Jira Service Management의 애드온)
8.9.4 버전
Bitbucket Server 및 Data Center 6.10.14 버전
7.6.10 버전
7.17.1 버전
Bamboo Server 및 Data Center 8.0.4 버전
Crucible Server 4.8.8 버전
Fisheye Server 4.8.8 버전

버전 업그레이드는 라이선스에 대한 유지 관리를 진행 중이신 고객만 가능하며, 버전 업그레이드 및 취약점 대응과 관련하여 기술지원이 필요하시다면 언제든지 디무브에게 연락 주시기 바랍니다.

감사합니다.


Resource

CVE-2021-42574-Unrendered unicode bidirectional override characters