Home > 전체기사
인기 높은 워드프레스 스타일링 플러그인에서 취약점 발견돼
  |  입력 : 2019-04-16 10:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
옐로 펜슬 플러그인에서 취약점 두 개 발견돼 - 권한 상승과 CSRF
3만 번 다운로드 된 인기 플러그인...긴급 업데이트 혹은 삭제 권고돼


[보안뉴스 문가용 기자] 워드프레스 플러그인 개발사 중 하나인 옐로 펜슬 비주얼 심 커스터마이저(Yellow Pencil Visual Theme Customizer)가 사용자들에게 업데이트를 하라는 긴급 메시지를 전파했다. 여기서 만든 플러그인의 취약점이 해커들 사이에서 활발하게 악용되고 있다는 사실을 파악했기 때문이다.

[이미지 = iclickart]


문제가 되고 있는 플러그인은 옐로 펜슬(Yellow Pencil)로, 사용자들이 쉽게 웹사이트를 꾸밀 수 있게 해주는 기능을 가지고 있다. 이미 3만 개가 넘는 웹사이트에서 설치돼 사용되고 있을 정도로 준수한 인기를 자랑하고 있는데, 최근 두 개의 취약점들을 사이버 범죄자들이 악용하고 있다는 사실이 밝혀졌다.

옐로 펜슬 측은 최근 업데이트 공고를 통해 “최대한 빨리 7.2.0 버전으로 업데이트하라”고 권고했다. “옐로 펜슬이 적용된 사이트라고 해서 모두 공격에 당한 건 아닙니다만, 앞으로 공격 당할 가능성을 0으로 만들기 위해서는 7.2.0으로의 빠른 업데이트가 필요합니다.”

워드프레스는 “월요일에 옐로 펜슬 플러그인을 워드프레스 플러그인 저장소에서 삭제했다”고 밝히며, “더 이상 다운로드 할 수 없다”고 설명했다. 그러면서 “이 사태가 발생한 건 한 보안 전문가가 책임감 없이 취약점 세부 사항을 개념증명 코드와 함께 공개했기 때문”이라고 비판하기도 했다. 실제로 해커들의 공격은 그러한 발표가 있고 나서부터 시작됐다.

워드프레스 보안을 전문으로 하는 워드펜스(Wordfence)는 “현재 뜻하지 않게 공개된 두 가지 취약점에 대한 익스플로잇 활동이 크게 늘어나고 있는 중”이라고 자사 블로그를 통해 발표했다. “옐로 펜슬 플러그인을 사용하는 사이트 운영자들은 업데이트나 삭제를 최대한 빨리 하는 게 좋을 것으로 보인다”고 권고하기도 했다.

취약점들
두 가지 취약점 중 하나는 권한을 상승시키는 것으로, yellow-pencil.php 파일 내에 존재한다. 이 파일은 특정 요청 매개변수(yp_remote_get)이 설정되어 있는지 확인하는 기능을 가지고 있으며, 만약 설정되어 있을 경우 사용자의 권한을 관리자 수준으로 상승시킨다. 즉 승인되지 않은 사용자라도 이 점을 통해 관리자와 같은 행위를 실시할 수 있다는 뜻이 된다.

두 번째 취약점은 특정 함수에 CSRF 확인 기능이 없기 때문에 나타나는 것으로, 이 기능이 제대로 구현되었다면 익스플로잇이 훨씬 더 어려웠을 것이라고 워드펜스는 설명한다. 옐로 펜슬 측은 취약점의 상세 내용에 대해서는 별다른 발표를 하지 않고 있다.

플러그인 익스플로잇 전문가?
워드펜스의 전문가들은 “현재 옐로 펜슬 플러그인을 집중적으로 공격하고 있는 자들은, 그 동안 소셜 워페어(Social Warfare)나 이지 WP SMTP(Easy WP SMTP), 유조 릴레이티드 포스트(Yuzo Related Posts) 등 다른 플러그인들을 수차례 공략해온 자들임이 거의 확실하다”는 입장이다.

그 근거는 공격에 사용된 악성 스크립트가 호스팅 되어 있는 IP 주소가 전부 같다는 것이다. “최근 발견된 플러그인 익스플로잇 행위들에서 공통점들이 하나 둘 보이기 시작했습니다. 그 공통점들을 고려했을 때, 최근 네 가지 플러그인에 대한 공격자들이 전부 같다는 점에 상당한 자신감을 가지고 있습니다.” 하지만 그 공격자의 정체는 언급되지 않고 있다.

3줄 요약
1. 워드프레스 사이트의 스타일링 쉽게 해주는 옐로 펜슬 플러그인에서 취약점 두 개 발견됨.
2. 이 취약점의 익스플로잇이 한 보안 전문가를 통해 공개되며 플러그인 공격이 급증함.
3. 이에 옐로 펜슬과 워드프레스 측은 전부 빠르게 업데이트 하거나 삭제할 것을 권고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트