세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
드루팔게돈2 취약점에 대한 실제 공격 급증 중
  |  입력 : 2018-04-16 11:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점 발표 이후 곧바로 개발된 교육용 익스플로잇 툴 퍼져
아직까지는 스캐닝 활동...하지만 향후에 실제 공격 발생할 가능성 높아


[보안뉴스 문가용 기자] 최근 패치된 드루팔(Drupal) 취약점을 노리는 공격자들의 활동이 다량으로 적발되기 시작했다. 특히 해당 취약점에 대한 개념증명용 익스플로잇이 발표된 이후부터 이러한 일들이 눈에 띄게 증가하고 있다고 한다.

[이미지 = iclickart]


지난 3월, 드루팔 개발자들은 CVE-2018-7600이라는 치명적인 원격 코드 실행 취약점에 대한 패치를 발표했다. 해당 취약점을 익스플로잇할 경우 드루팔로 만들어진 웹사이트에 대한 통제권을 공격자가 완전히 가져올 수 있게 된다. 드루팔 6, 7, 8 버전이 영향권 아래 있으며, 즉각적인 패치가 권장됐다.

취약점에는 드루팔게돈2(Drupalgeddon2)라는 이름이 붙었고, 개발자들과 보안 전문가들은 “실제로 공격이 일어날 가능성이 농후하다”고 경고도 했었다. 그럼에도 불과 2주만에 개념증명용 익스플로잇이 나왔고, 심지어 널리 공개되기도 했다.

당시 보안 업체 체크포인트(Check Point)와 또 다른 보안 업체 도피니티(Dofinity)의 보안 및 드루팔 전문가들은 공동으로 드루팔게돈2에 대한 기술 분석을 시도했고, 그에 대한 상세 내용을 지난 주에 발표했다.

“드루팔의 Form API Ajax 요청들에는 인풋 관리 기능이 충분히 도입되어 있지 않습니다. 그래서 공격자들은 악성 페이로드를 중간 양식 구조에 주입할 수 있게 됩니다. 사용자 인증 없이 공격자가 임의의 코드를 실행할 수 있게 해주는 겁니다. 사이트가 완전히 공격자의 손에 넘어갈 수 있다는 것이죠.”

체크포인트와 도피니티가 기술적인 내용을 발표하고 나서 보안 전문가인 비탈리 루드니크(Vitalii Rudnykh)라는 인물이 깃허브에 ‘교육용’이라며 개념증명을 공개했다. 여러 깃허브 멤버들이 해당 개념증명을 다운로드 받아 실험했고, 제대로 된다는 소식을 알려왔다. 즉 ‘교육용’ 해킹 툴이 배포되기 시작한 건데, SANS 인터내셔널에서는 “그 후 드루팔게돈2에 대한 익스플로잇 시도가 급증했다”고 알려왔다.

다행히 아직까지 실제로 웹사이트가 CVE-2018-7600을 통해 통째로 해킹된 사례는 나타나지 않고 있다. 다만 SANS에 따르면 “이 취약점을 가진 서버를 찾는 스캔 행위가 늘어났다”고 한다. SANS가 발견한 페이로드들은 echo, phpinfo, whoami, touch와 같은 간단한 명령들을 사용하고 있었다.

보안 업체 수쿠리(Sucuri)의 CTO인 다니엘 시드(Daniel Cid) 역시 “CVE-2018-7600에 대한 익스플로잇 시도가 빠르게 현실화되고 있다”며 “취약점이 발견되었던 때부터 염려해오던 것”이라고 말했다. “취약점의 심각성과 드루팔의 인기, 사용자들의 느린 패치 적용 등이 합쳐져서 앞으로도 한동안은 익스플로잇이 늘어날 것으로 예상됩니다.”

한편 드루팔게돈1(Drupalgeddon1) 취약점은 2014년 10월에 발견된 바 있다. 그리고 패치 발표 후 7시간 만에 첫 번째 실제 공격 사례가 발생했다. 또한 최소 2년 동안은 꾸준한 드루팔게돈1 공격 성공 사례가 보고되었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)