Home > Security
인기 높은 워드프레스 스타일링 플러그인에서 취약점 발견돼
  |  입력 : 2019-04-16 10:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
옐로 펜슬 플러그인에서 취약점 두 개 발견돼 - 권한 상승과 CSRF
3만 번 다운로드 된 인기 플러그인...긴급 업데이트 혹은 삭제 권고돼


[보안뉴스 문가용 기자] 워드프레스 플러그인 개발사 중 하나인 옐로 펜슬 비주얼 심 커스터마이저(Yellow Pencil Visual Theme Customizer)가 사용자들에게 업데이트를 하라는 긴급 메시지를 전파했다. 여기서 만든 플러그인의 취약점이 해커들 사이에서 활발하게 악용되고 있다는 사실을 파악했기 때문이다.

[이미지 = iclickart]


문제가 되고 있는 플러그인은 옐로 펜슬(Yellow Pencil)로, 사용자들이 쉽게 웹사이트를 꾸밀 수 있게 해주는 기능을 가지고 있다. 이미 3만 개가 넘는 웹사이트에서 설치돼 사용되고 있을 정도로 준수한 인기를 자랑하고 있는데, 최근 두 개의 취약점들을 사이버 범죄자들이 악용하고 있다는 사실이 밝혀졌다.

옐로 펜슬 측은 최근 업데이트 공고를 통해 “최대한 빨리 7.2.0 버전으로 업데이트하라”고 권고했다. “옐로 펜슬이 적용된 사이트라고 해서 모두 공격에 당한 건 아닙니다만, 앞으로 공격 당할 가능성을 0으로 만들기 위해서는 7.2.0으로의 빠른 업데이트가 필요합니다.”

워드프레스는 “월요일에 옐로 펜슬 플러그인을 워드프레스 플러그인 저장소에서 삭제했다”고 밝히며, “더 이상 다운로드 할 수 없다”고 설명했다. 그러면서 “이 사태가 발생한 건 한 보안 전문가가 책임감 없이 취약점 세부 사항을 개념증명 코드와 함께 공개했기 때문”이라고 비판하기도 했다. 실제로 해커들의 공격은 그러한 발표가 있고 나서부터 시작됐다.

워드프레스 보안을 전문으로 하는 워드펜스(Wordfence)는 “현재 뜻하지 않게 공개된 두 가지 취약점에 대한 익스플로잇 활동이 크게 늘어나고 있는 중”이라고 자사 블로그를 통해 발표했다. “옐로 펜슬 플러그인을 사용하는 사이트 운영자들은 업데이트나 삭제를 최대한 빨리 하는 게 좋을 것으로 보인다”고 권고하기도 했다.

취약점들
두 가지 취약점 중 하나는 권한을 상승시키는 것으로, yellow-pencil.php 파일 내에 존재한다. 이 파일은 특정 요청 매개변수(yp_remote_get)이 설정되어 있는지 확인하는 기능을 가지고 있으며, 만약 설정되어 있을 경우 사용자의 권한을 관리자 수준으로 상승시킨다. 즉 승인되지 않은 사용자라도 이 점을 통해 관리자와 같은 행위를 실시할 수 있다는 뜻이 된다.

두 번째 취약점은 특정 함수에 CSRF 확인 기능이 없기 때문에 나타나는 것으로, 이 기능이 제대로 구현되었다면 익스플로잇이 훨씬 더 어려웠을 것이라고 워드펜스는 설명한다. 옐로 펜슬 측은 취약점의 상세 내용에 대해서는 별다른 발표를 하지 않고 있다.

플러그인 익스플로잇 전문가?
워드펜스의 전문가들은 “현재 옐로 펜슬 플러그인을 집중적으로 공격하고 있는 자들은, 그 동안 소셜 워페어(Social Warfare)나 이지 WP SMTP(Easy WP SMTP), 유조 릴레이티드 포스트(Yuzo Related Posts) 등 다른 플러그인들을 수차례 공략해온 자들임이 거의 확실하다”는 입장이다.

그 근거는 공격에 사용된 악성 스크립트가 호스팅 되어 있는 IP 주소가 전부 같다는 것이다. “최근 발견된 플러그인 익스플로잇 행위들에서 공통점들이 하나 둘 보이기 시작했습니다. 그 공통점들을 고려했을 때, 최근 네 가지 플러그인에 대한 공격자들이 전부 같다는 점에 상당한 자신감을 가지고 있습니다.” 하지만 그 공격자의 정체는 언급되지 않고 있다.

3줄 요약
1. 워드프레스 사이트의 스타일링 쉽게 해주는 옐로 펜슬 플러그인에서 취약점 두 개 발견됨.
2. 이 취약점의 익스플로잇이 한 보안 전문가를 통해 공개되며 플러그인 공격이 급증함.
3. 이에 옐로 펜슬과 워드프레스 측은 전부 빠르게 업데이트 하거나 삭제할 것을 권고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향