워드프레스의 플러그인에서 위험한 CSRF 취약점 발견돼

실시간 찾기 및 바꾸기 취약점...HTML 콘텐츠 쉽게 교체하게 해주는 플러그인
CSRF 취약점 토해 공격자들도 HTML 콘텐츠 바꿀 수 있어...4.0.2로 버전 업 필요

[보안뉴스 문가용 기자] 워드프레스의 플러그인 중 ‘실시간 찾기 및 바꾸기(Real-Time Find and Replace)’라는 이름의 플러그인에서 고위험군 취약점 하나가 최근 발견됐다. 익스플로잇에 성공할 경우 웹사이트에 임의의 코드를 주입하는 게 가능하게 된다고 한다.

[이미지 = iclickart]

‘실시간 찾기 및 바꾸기’ 플러그인은 워드프레스 사이트 관리자들을 위해 설계된 것으로, 테마나 다른 플러그인 등과 같은 HTML 콘텐츠를 관리자들이 원하는 대로 교체할 수 있게 해준다. 오픈소스로 공개되어 있는 상태이며, 현재까지 약 10만 번 다운로드 되었을 정도로 워드프레서 생태계에서는 양호한 인기를 보여준다.

이 플러그인에서 발견된 취약점은 일종의 사이트 간 요청 위조(Cross-Site Request Forgery, CSRF) 취약점으로 분류되며, XSS 공격을 가능케 한다고 한다. 성공적으로 익스플로잇 할 경우, 공격자가 악성 자바스크립트 코드를 원하는 워드프레스 사이트에 주입할 수 있게 된다. 다만 해당 사이트의 관리자가 특정 링크를 클릭하거나 파일을 다운로드 받게 하는 등의 ‘속임수’가 성공해야 한다.

이 취약점을 발견한 워드프레스 보안 전문 회사인 데피안트(Defiant)는 “‘실시간 찾기 및 바꾸기’ 플러그인의 핵심 기능 중 하나인 ‘찾기 및 교체 규칙 추가하기’는 far_options_page라는 함수 내에 존재하는데, 이 함수는 요청의 출처를 제대로 확인하지 않는다는 약점을 가지고 있다”고 설명한다. 이것이 CSRF 취약점의 정체다.

데피안트는 자사 블로그를 통해 보다 상세한 내용(https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-patched-in-real-time-find-and-replace-plugin/)을 전달했다. 이 중 주목해볼 만한 내용을 발췌하자면 다음과 같다.

“사이트 운영자를 속여 클릭이나 문서 다운로드 등을 하도록 유발할 수 있는 공격자라면, 사실상 사이트 내 모든 HTML 콘텐츠를 자기 마음대로 교체할 수 있게 됩니다. 정상적으로 보이는 콘텐츠에 악성 코드를 몰래 숨겨 놓을 수도 있겠지요. 그렇다면 방문자가 사이트에 들어왔을 때 감염이 진행되는 겁니다.”

예를 들어 HTML 태그인 를 악성 자바스크립트로 교체한다면 어떤 일이 벌어질까? 사이트에 포함된 거의 모든 페이지에서 악성 코드를 실행할 수 있다. 심지어 주입한 코드에 따라 새로운 관리자 계정을 만들 수도, 세션 쿠키를 훔칠 수도, 방문자를 다른 악성 사이트로 우회 접속시킬 수도 있다.

데피안트는 4월 22일 이와 같은 사실을 플러그인 개발사에 알렸다. 개발사는 그날로 패치를 개발해 배포했다. “개발자는 check_admin_referer라는 함수와 논스(nonce)를 최신 버전에 추가했습니다. 이로써 요청에 대한 확인이 가능하게 되었습니다.” 데피안트가 밝힌 내용이다.

최신 버전은 4.0.2다. ‘실시간 찾기 및 교체’ 플러그인을 사용하는 워드프레스 사이트 운영자라면 4.0.2 버전으로 업데이트 하는 것이 권장된다.

3줄 요약
1. 워드프레스의 인기 플러그인에서 CSRF 취약점 발견됨.
2. 익스플로잇 하면 사이트 내 모든 HTML 콘텐츠를 마음대로 주무를 수 있게 됨.
3. 4.0.2 버전으로 업데이트 하면 이러한 문제가 사라짐.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)