Home > 전체기사
인기 높은 워드프레스 스타일링 플러그인에서 취약점 발견돼
  |  입력 : 2019-04-16 10:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
옐로 펜슬 플러그인에서 취약점 두 개 발견돼 - 권한 상승과 CSRF
3만 번 다운로드 된 인기 플러그인...긴급 업데이트 혹은 삭제 권고돼


[보안뉴스 문가용 기자] 워드프레스 플러그인 개발사 중 하나인 옐로 펜슬 비주얼 심 커스터마이저(Yellow Pencil Visual Theme Customizer)가 사용자들에게 업데이트를 하라는 긴급 메시지를 전파했다. 여기서 만든 플러그인의 취약점이 해커들 사이에서 활발하게 악용되고 있다는 사실을 파악했기 때문이다.

[이미지 = iclickart]


문제가 되고 있는 플러그인은 옐로 펜슬(Yellow Pencil)로, 사용자들이 쉽게 웹사이트를 꾸밀 수 있게 해주는 기능을 가지고 있다. 이미 3만 개가 넘는 웹사이트에서 설치돼 사용되고 있을 정도로 준수한 인기를 자랑하고 있는데, 최근 두 개의 취약점들을 사이버 범죄자들이 악용하고 있다는 사실이 밝혀졌다.

옐로 펜슬 측은 최근 업데이트 공고를 통해 “최대한 빨리 7.2.0 버전으로 업데이트하라”고 권고했다. “옐로 펜슬이 적용된 사이트라고 해서 모두 공격에 당한 건 아닙니다만, 앞으로 공격 당할 가능성을 0으로 만들기 위해서는 7.2.0으로의 빠른 업데이트가 필요합니다.”

워드프레스는 “월요일에 옐로 펜슬 플러그인을 워드프레스 플러그인 저장소에서 삭제했다”고 밝히며, “더 이상 다운로드 할 수 없다”고 설명했다. 그러면서 “이 사태가 발생한 건 한 보안 전문가가 책임감 없이 취약점 세부 사항을 개념증명 코드와 함께 공개했기 때문”이라고 비판하기도 했다. 실제로 해커들의 공격은 그러한 발표가 있고 나서부터 시작됐다.

워드프레스 보안을 전문으로 하는 워드펜스(Wordfence)는 “현재 뜻하지 않게 공개된 두 가지 취약점에 대한 익스플로잇 활동이 크게 늘어나고 있는 중”이라고 자사 블로그를 통해 발표했다. “옐로 펜슬 플러그인을 사용하는 사이트 운영자들은 업데이트나 삭제를 최대한 빨리 하는 게 좋을 것으로 보인다”고 권고하기도 했다.

취약점들
두 가지 취약점 중 하나는 권한을 상승시키는 것으로, yellow-pencil.php 파일 내에 존재한다. 이 파일은 특정 요청 매개변수(yp_remote_get)이 설정되어 있는지 확인하는 기능을 가지고 있으며, 만약 설정되어 있을 경우 사용자의 권한을 관리자 수준으로 상승시킨다. 즉 승인되지 않은 사용자라도 이 점을 통해 관리자와 같은 행위를 실시할 수 있다는 뜻이 된다.

두 번째 취약점은 특정 함수에 CSRF 확인 기능이 없기 때문에 나타나는 것으로, 이 기능이 제대로 구현되었다면 익스플로잇이 훨씬 더 어려웠을 것이라고 워드펜스는 설명한다. 옐로 펜슬 측은 취약점의 상세 내용에 대해서는 별다른 발표를 하지 않고 있다.

플러그인 익스플로잇 전문가?
워드펜스의 전문가들은 “현재 옐로 펜슬 플러그인을 집중적으로 공격하고 있는 자들은, 그 동안 소셜 워페어(Social Warfare)나 이지 WP SMTP(Easy WP SMTP), 유조 릴레이티드 포스트(Yuzo Related Posts) 등 다른 플러그인들을 수차례 공략해온 자들임이 거의 확실하다”는 입장이다.

그 근거는 공격에 사용된 악성 스크립트가 호스팅 되어 있는 IP 주소가 전부 같다는 것이다. “최근 발견된 플러그인 익스플로잇 행위들에서 공통점들이 하나 둘 보이기 시작했습니다. 그 공통점들을 고려했을 때, 최근 네 가지 플러그인에 대한 공격자들이 전부 같다는 점에 상당한 자신감을 가지고 있습니다.” 하지만 그 공격자의 정체는 언급되지 않고 있다.

3줄 요약
1. 워드프레스 사이트의 스타일링 쉽게 해주는 옐로 펜슬 플러그인에서 취약점 두 개 발견됨.
2. 이 취약점의 익스플로잇이 한 보안 전문가를 통해 공개되며 플러그인 공격이 급증함.
3. 이에 옐로 펜슬과 워드프레스 측은 전부 빠르게 업데이트 하거나 삭제할 것을 권고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제