Home > 전체기사
드루팔게돈2 취약점에 대한 실제 공격 급증 중
  |  입력 : 2018-04-16 11:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점 발표 이후 곧바로 개발된 교육용 익스플로잇 툴 퍼져
아직까지는 스캐닝 활동...하지만 향후에 실제 공격 발생할 가능성 높아


[보안뉴스 문가용 기자] 최근 패치된 드루팔(Drupal) 취약점을 노리는 공격자들의 활동이 다량으로 적발되기 시작했다. 특히 해당 취약점에 대한 개념증명용 익스플로잇이 발표된 이후부터 이러한 일들이 눈에 띄게 증가하고 있다고 한다.

[이미지 = iclickart]


지난 3월, 드루팔 개발자들은 CVE-2018-7600이라는 치명적인 원격 코드 실행 취약점에 대한 패치를 발표했다. 해당 취약점을 익스플로잇할 경우 드루팔로 만들어진 웹사이트에 대한 통제권을 공격자가 완전히 가져올 수 있게 된다. 드루팔 6, 7, 8 버전이 영향권 아래 있으며, 즉각적인 패치가 권장됐다.

취약점에는 드루팔게돈2(Drupalgeddon2)라는 이름이 붙었고, 개발자들과 보안 전문가들은 “실제로 공격이 일어날 가능성이 농후하다”고 경고도 했었다. 그럼에도 불과 2주만에 개념증명용 익스플로잇이 나왔고, 심지어 널리 공개되기도 했다.

당시 보안 업체 체크포인트(Check Point)와 또 다른 보안 업체 도피니티(Dofinity)의 보안 및 드루팔 전문가들은 공동으로 드루팔게돈2에 대한 기술 분석을 시도했고, 그에 대한 상세 내용을 지난 주에 발표했다.

“드루팔의 Form API Ajax 요청들에는 인풋 관리 기능이 충분히 도입되어 있지 않습니다. 그래서 공격자들은 악성 페이로드를 중간 양식 구조에 주입할 수 있게 됩니다. 사용자 인증 없이 공격자가 임의의 코드를 실행할 수 있게 해주는 겁니다. 사이트가 완전히 공격자의 손에 넘어갈 수 있다는 것이죠.”

체크포인트와 도피니티가 기술적인 내용을 발표하고 나서 보안 전문가인 비탈리 루드니크(Vitalii Rudnykh)라는 인물이 깃허브에 ‘교육용’이라며 개념증명을 공개했다. 여러 깃허브 멤버들이 해당 개념증명을 다운로드 받아 실험했고, 제대로 된다는 소식을 알려왔다. 즉 ‘교육용’ 해킹 툴이 배포되기 시작한 건데, SANS 인터내셔널에서는 “그 후 드루팔게돈2에 대한 익스플로잇 시도가 급증했다”고 알려왔다.

다행히 아직까지 실제로 웹사이트가 CVE-2018-7600을 통해 통째로 해킹된 사례는 나타나지 않고 있다. 다만 SANS에 따르면 “이 취약점을 가진 서버를 찾는 스캔 행위가 늘어났다”고 한다. SANS가 발견한 페이로드들은 echo, phpinfo, whoami, touch와 같은 간단한 명령들을 사용하고 있었다.

보안 업체 수쿠리(Sucuri)의 CTO인 다니엘 시드(Daniel Cid) 역시 “CVE-2018-7600에 대한 익스플로잇 시도가 빠르게 현실화되고 있다”며 “취약점이 발견되었던 때부터 염려해오던 것”이라고 말했다. “취약점의 심각성과 드루팔의 인기, 사용자들의 느린 패치 적용 등이 합쳐져서 앞으로도 한동안은 익스플로잇이 늘어날 것으로 예상됩니다.”

한편 드루팔게돈1(Drupalgeddon1) 취약점은 2014년 10월에 발견된 바 있다. 그리고 패치 발표 후 7시간 만에 첫 번째 실제 공격 사례가 발생했다. 또한 최소 2년 동안은 꾸준한 드루팔게돈1 공격 성공 사례가 보고되었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)