최근 GitHub는 공격자가 인증 보호를 우회하고 대상 시스템에서 관리자 권한을 얻을 수 있도록 허용하는 GitHub Enterprise Server(GHES)의 심각한 보안 취약점에 대한 수정 사항을 발표했습니다. CVE-2024-4985(CVSS 점수 10.0)라고 불리는 이 취약점을 통해 인증되지 않은 사용자가 GHES 인스턴스에 액세스할 수 있습니다.
GHES는 조직이 소프트웨어 애플리케이션을 구축 및 저장하고, Git 버전 제어를 사용하고, 배포 파이프라인을 자동화하는 데 사용할 수 있는 소프트웨어 개발을 위해 널리 사용되는 플랫폼입니다. 이 플랫폼은 고성능 및 오프라인 액세스 요구 사항이 있는 프라이빗 클라우드 환경이나 사내 서버 환경에서 널리 사용됩니다.
그러나 이 취약점은 SAML SSO(Single Sign-On) 인증을 사용하는 환경에서 발생할 수 있다는 점은 주목할 가치가 있습니다. 공격자는 암호화 어설션 기능을 통해 SAML 응답을 위조하여 관리자 권한을 얻을 수 있습니다. 암호화 어설션이 기본값은 아니지만 SAML을 사용하지 않는 사용자는 이 취약점의 영향을 받지 않습니다.
취약한 버전의 GHES를 사용하는 기관의 경우 위험을 줄이기 위해 즉시 최신 버전으로 업데이트하는 것이 좋습니다. 이 취약점에 대한 패치는 버전 3.9.15, 3.10.12, 3.11.10 및 3.12.4에서 제공됩니다.
또한 이 기사에서는 FileZilla 및 GitHub가 악의적인 공격에 사용되었고, Breach Nation이 새로운 해커 포럼이 될 수 있으며, 미국 증권거래위원회가 금융 데이터 보안 규정을 업데이트했으며, Google을 포함하되 이에 국한되지 않는 기타 사이버 보안 뉴스도 언급했습니다. Cloud는 실수로 UniSuper의 125억 달러 규모 연금 계좌를 삭제했으며 Grandoreiro Bank의 뱅킹 트로이 목마 공격은 1,500개 이상의 글로벌 금융 기관을 표적으로 삼았습니다.
전반적으로 이 문서에서는 주요 GitHub 보안 취약점과 수정 사항을 자세히 설명하고 독자가 이 중요한 문제를 완전히 이해할 수 있도록 관련 사이버 보안 뉴스와 배경 정보를 제공합니다.
'클라우드 스토리지' 카테고리의 다른 글
| 공급망 보안 재편의 과제와 기회 (0) | 2024.07.05 |
|---|---|
| 금융의 미래: 새로운 기술을 활용하여 과제 해결 (0) | 2024.07.05 |
| 클라우드 보안의 AI: 미래의 과제와 기회 (0) | 2024.07.04 |
| 디지털 혁신: 인재 공급망 재편을 위한 전략 (0) | 2024.07.04 |
| 엣지 활용: 기업이 엣지 컴퓨팅을 사용하여 디지털 문제를 해결하는 방법 (0) | 2024.07.04 |