워드프레스의 플러그인에서 위험한 CSRF 취약점 발견돼

입력 : 2020-04-29 17:12

실시간 찾기 및 바꾸기 취약점...HTML 콘텐츠 쉽게 교체하게 해주는 플러그인
CSRF 취약점 토해 공격자들도 HTML 콘텐츠 바꿀 수 있어...4.0.2로 버전 업 필요

[보안뉴스 문가용 기자] 워드프레스의 플러그인 중 ‘실시간 찾기 및 바꾸기(Real-Time Find and Replace)’라는 이름의 플러그인에서 고위험군 취약점 하나가 최근 발견됐다. 익스플로잇에 성공할 경우 웹사이트에 임의의 코드를 주입하는 게 가능하게 된다고 한다.


‘실시간 찾기 및 바꾸기’ 플러그인은 워드프레스 사이트 관리자들을 위해 설계된 것으로, 테마나 다른 플러그인 등과 같은 HTML 콘텐츠를 관리자들이 원하는 대로 교체할 수 있게 해준다. 오픈소스로 공개되어 있는 상태이며, 현재까지 약 10만 번 다운로드 되었을 정도로 워드프레서 생태계에서는 양호한 인기를 보여준다.

이 플러그인에서 발견된 취약점은 일종의 사이트 간 요청 위조(Cross-Site Request Forgery, CSRF) 취약점으로 분류되며, XSS 공격을 가능케 한다고 한다. 성공적으로 익스플로잇 할 경우, 공격자가 악성 자바스크립트 코드를 원하는 워드프레스 사이트에 주입할 수 있게 된다. 다만 해당 사이트의 관리자가 특정 링크를 클릭하거나 파일을 다운로드 받게 하는 등의 ‘속임수’가 성공해야 한다.

이 취약점을 발견한 워드프레스 보안 전문 회사인 데피안트(Defiant)는 “‘실시간 찾기 및 바꾸기’ 플러그인의 핵심 기능 중 하나인 ‘찾기 및 교체 규칙 추가하기’는 far_options_page라는 함수 내에 존재하는데, 이 함수는 요청의 출처를 제대로 확인하지 않는다는 약점을 가지고 있다”고 설명한다. 이것이 CSRF 취약점의 정체다.

데피안트는 자사 블로그를 통해 보다 상세한 내용(https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-patched-in-real-time-find-and-replace-plugin/)을 전달했다. 이 중 주목해볼 만한 내용을 발췌하자면 다음과 같다.

“사이트 운영자를 속여 클릭이나 문서 다운로드 등을 하도록 유발할 수 있는 공격자라면, 사실상 사이트 내 모든 HTML 콘텐츠를 자기 마음대로 교체할 수 있게 됩니다. 정상적으로 보이는 콘텐츠에 악성 코드를 몰래 숨겨 놓을 수도 있겠지요. 그렇다면 방문자가 사이트에 들어왔을 때 감염이 진행되는 겁니다.”

예를 들어 HTML 태그인 를 악성 자바스크립트로 교체한다면 어떤 일이 벌어질까? 사이트에 포함된 거의 모든 페이지에서 악성 코드를 실행할 수 있다. 심지어 주입한 코드에 따라 새로운 관리자 계정을 만들 수도, 세션 쿠키를 훔칠 수도, 방문자를 다른 악성 사이트로 우회 접속시킬 수도 있다.

데피안트는 4월 22일 이와 같은 사실을 플러그인 개발사에 알렸다. 개발사는 그날로 패치를 개발해 배포했다. “개발자는 check_admin_referer라는 함수와 논스(nonce)를 최신 버전에 추가했습니다. 이로써 요청에 대한 확인이 가능하게 되었습니다.” 데피안트가 밝힌 내용이다.

최신 버전은 4.0.2다. ‘실시간 찾기 및 교체’ 플러그인을 사용하는 워드프레스 사이트 운영자라면 4.0.2 버전으로 업데이트 하는 것이 권장된다.

3줄 요약
1. 워드프레스의 인기 플러그인에서 CSRF 취약점 발견됨.
2. 익스플로잇 하면 사이트 내 모든 HTML 콘텐츠를 마음대로 주무를 수 있게 됨.
3. 4.0.2 버전으로 업데이트 하면 이러한 문제가 사라짐.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 2

  지정학적 위기가 고조되는 가운데 CISO가 ...

• 3

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 4

  [이슈인터뷰] KAIST 최양규 교수 “세계...

• 5

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...