세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
드루팔게돈2 취약점에 대한 실제 공격 급증 중
  |  입력 : 2018-04-16 11:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점 발표 이후 곧바로 개발된 교육용 익스플로잇 툴 퍼져
아직까지는 스캐닝 활동...하지만 향후에 실제 공격 발생할 가능성 높아


[보안뉴스 문가용 기자] 최근 패치된 드루팔(Drupal) 취약점을 노리는 공격자들의 활동이 다량으로 적발되기 시작했다. 특히 해당 취약점에 대한 개념증명용 익스플로잇이 발표된 이후부터 이러한 일들이 눈에 띄게 증가하고 있다고 한다.

[이미지 = iclickart]


지난 3월, 드루팔 개발자들은 CVE-2018-7600이라는 치명적인 원격 코드 실행 취약점에 대한 패치를 발표했다. 해당 취약점을 익스플로잇할 경우 드루팔로 만들어진 웹사이트에 대한 통제권을 공격자가 완전히 가져올 수 있게 된다. 드루팔 6, 7, 8 버전이 영향권 아래 있으며, 즉각적인 패치가 권장됐다.

취약점에는 드루팔게돈2(Drupalgeddon2)라는 이름이 붙었고, 개발자들과 보안 전문가들은 “실제로 공격이 일어날 가능성이 농후하다”고 경고도 했었다. 그럼에도 불과 2주만에 개념증명용 익스플로잇이 나왔고, 심지어 널리 공개되기도 했다.

당시 보안 업체 체크포인트(Check Point)와 또 다른 보안 업체 도피니티(Dofinity)의 보안 및 드루팔 전문가들은 공동으로 드루팔게돈2에 대한 기술 분석을 시도했고, 그에 대한 상세 내용을 지난 주에 발표했다.

“드루팔의 Form API Ajax 요청들에는 인풋 관리 기능이 충분히 도입되어 있지 않습니다. 그래서 공격자들은 악성 페이로드를 중간 양식 구조에 주입할 수 있게 됩니다. 사용자 인증 없이 공격자가 임의의 코드를 실행할 수 있게 해주는 겁니다. 사이트가 완전히 공격자의 손에 넘어갈 수 있다는 것이죠.”

체크포인트와 도피니티가 기술적인 내용을 발표하고 나서 보안 전문가인 비탈리 루드니크(Vitalii Rudnykh)라는 인물이 깃허브에 ‘교육용’이라며 개념증명을 공개했다. 여러 깃허브 멤버들이 해당 개념증명을 다운로드 받아 실험했고, 제대로 된다는 소식을 알려왔다. 즉 ‘교육용’ 해킹 툴이 배포되기 시작한 건데, SANS 인터내셔널에서는 “그 후 드루팔게돈2에 대한 익스플로잇 시도가 급증했다”고 알려왔다.

다행히 아직까지 실제로 웹사이트가 CVE-2018-7600을 통해 통째로 해킹된 사례는 나타나지 않고 있다. 다만 SANS에 따르면 “이 취약점을 가진 서버를 찾는 스캔 행위가 늘어났다”고 한다. SANS가 발견한 페이로드들은 echo, phpinfo, whoami, touch와 같은 간단한 명령들을 사용하고 있었다.

보안 업체 수쿠리(Sucuri)의 CTO인 다니엘 시드(Daniel Cid) 역시 “CVE-2018-7600에 대한 익스플로잇 시도가 빠르게 현실화되고 있다”며 “취약점이 발견되었던 때부터 염려해오던 것”이라고 말했다. “취약점의 심각성과 드루팔의 인기, 사용자들의 느린 패치 적용 등이 합쳐져서 앞으로도 한동안은 익스플로잇이 늘어날 것으로 예상됩니다.”

한편 드루팔게돈1(Drupalgeddon1) 취약점은 2014년 10월에 발견된 바 있다. 그리고 패치 발표 후 7시간 만에 첫 번째 실제 공격 사례가 발생했다. 또한 최소 2년 동안은 꾸준한 드루팔게돈1 공격 성공 사례가 보고되었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)