세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
아파치 스트러츠2에서 보안 취약점 발견...신속한 업데이트 필요
  |  입력 : 2017-07-11 15:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
KISA, 아파치 스트럿츠2 원격 코드 실행 취약점 업데이트 권고
지난 3월 사드 배치 논란 당시 중국 해커들의 주요 공격통로로 악용


[보안뉴스 권 준 기자] 지난 3월 사드 배치에 대한 반감으로 중국 해커들의 한국 웹사이트 공격이 진행됐을 당시 ‘아파치 스트럿츠(Apache Struts) 2 취약점’을 주로 악용해서 웹 서버 공격을 했던 것으로 알려져 이슈가 된 바 있다.

[사진=iclickart]


자바 EE(Enterprise Edition) 웹 애플리케이션을 개발하기 위한 오픈소스 프레임워크인 아파치 스트럿츠는 특히 패턴 기반 보안장비로는 해킹을 탐지 못할 수도 있기 때문에 항상 최신 패치를 적용해야 한다.

이러한 가운데 한국인터넷진흥원(KISA)에서 10일 아파치 스트럿츠2 원격 코드 실행 취약점 업데이트를 권고하고 나섰다. 이번 업데이트는 아파치 스트러츠2에서 제공하는 웹 애플리케이션 Showcase의 SaveGangsterAction 페이지에서 ActionMessages.class를 통해 특정 입력 값을 처리할 때 원격 코드 실행을 가능하게 하는 취약점(CVE-2017-9791)으로, 취약한 버전을 사용 중인 서버 담당자는 해결방안에 따라 최신 버전으로 업데이트해야 한다.

해당 취약점에 영향을 받는 제품 및 버전은 아파치 스트러츠 2.3.x 버전에서 스트러츠1 플러그인을 사용하는 경우로, 아파치 스트러츠2는 스트러츠1의 Action을 사용하기 위해 스트러츠1 플러그인을 기본 제공하고 있다.

이에 아파치 스트러츠2 프레임워크 기반의 웹 서버를 사용하는 기관, 기업은 취약점에 영향을 받지 않는 아파치 스트러츠 2.5.10.1 버전으로 업데이트를 수행해야 한다.

이와 함께 SaveGangsterAction.java에서 ActionMessage.class에 메시지를 전달할 때 값을 직접 전달하는 대신 리소스 키를 사용하도록 소스코드 변경 후 컴파일 작업을 진행하는 방법도 있다. SaveGangsterAction.java 파일 경로는 showcase가 설치된 폴더 하위의 \src\org\apache\struts2\integration\SaveGangsterAction.java로, 설치 환경에 따라 경로 확인이 필요하다. 기존 소스코드와 변경 소스코드는 다음과 같다.

-기존 소스코드: messages.add("msg", new ActionMessage("Gangster"+
gform.getName()+"was added"));
-변경 소스코드: messages.add("msg", new ActionMessage
("struts1.gangsterAdded", gform.getName()));

마지막으로 우회 취약경로(/struts2-showcase/integration/saveGangster.action)를 추가로 차단하기 위해 보안규칙을 설정하는 방법도 있다. 보안규칙은 각 기관 환경에 맞춰 검토한 후 적용이 필요하다.

-alert tcp any any-> any any(content:"/saveGangster.action"; nocase; content:"HTTP/1."; distance:0;)
-alert tcp any any -> any any(content:"/struts2-showcase"; nocase; content:"HTTP/1."; distance:0;)

기타 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 문의하면 된다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)