Jenkins는 가장 유명한 오픈소스 자동화 서버로, CloudBees와 Jenkins 커뮤니티에서 관리하고 있다. 이 자동화 서버는 개발자가 애플리케이션을 빌드, 테스트, 배포할 수 있도록 지원하며 전세계 1백만명 이상의 사용자를 보유하고 있다.
지난 1월, 보안 전문가인 Mikail Tunç는 온라인에 공개된 Jenkins 서버를 분석하면서 민감한 정보가 유출되고 있다는 사실을 발견했다. 그는 Jenkins가 코드 저장소와 깃허브, AWS, Azure와 같이 코드를 배포할 환경에 접근하기 위한 자격증명을 요구한다는 사실에 주목했다. 애플리케이션을 올바르게 구성하지 않으면 데이터가 유출될 수 있기 때문이다. 그는 다수의 잘못 구성된 시스템이 계정을 등록하지 않은 사용자들에게도 기본적으로 게스트나 관리자 권한을 제공한다는 사실을 발견했다.
체크포인트(CheckPoint)가 게시한 블로그 포스트는 “중국인으로 추정되는 공격자가 다수의 윈도우 버전에서 XMRig 채굴기를 실행해 이미 300만 달러 상당의 모네로 암호화폐를 벌었다. 그러나 거기서 멈추지 않고 Jenkins CI 서버를 타깃으로 하여 더 많은 코인을 얻고 있다”고 언급했다.
연구원에 따르면 공격자들은 Jenkins 자바 직렬화 구현에서 CVE-2017-1000353RCE 취약점을 활용해 대규모 채굴 작전을 수행했다고 한다. 해당 취약점은 직렬화된 객체의 유효성 검사가 부족해 발생하며, 공격자는 익스플로잇을 수행해 JenkinsMiner를 다운로드하고 설치할 수 있다.
포스트는 또한 “그들은 지난 몇달간 RAT와 XMRig 채굴의 하이브리드화를 통해 전세계 사용자들을 타깃으로 공격했다. 채굴기는 다수의 플랫폼과 윈도우 버전에서 실행됐고, 대부분의 타깃이 개인 사용자였다. 멀웨어는 여러 업데이트를 통해 전파됐고, 수익을 옮기는데 사용된 마이닝 풀도 여러번 변경되었다”고 말했다.
JenkinsMiner에 대한 대부분의 다운로드는 중국에 위치한 IP 주소로부터 이루어졌고, 해당 주소는 Huaian 정부 정보 센터에 할당되어 있었다. 서버가 해킹을 당한 것인지 아니면 정부의 후원을 받는 해커가 사용한 것인지는 확인할 수 없었다.
★정보보안 대표 미디어 데일리시큐!★