닫기

- 한국산업보안연구학회 로그인 화면입니다. -

닫기

한국산업보안연구학회

한국산업보안연구학회THE KOREAN ASSOCIATION FOR INDUSTRIAL SECUTRITY

학회소식산업보안뉴스

산업보안뉴스

제목 이메일 조작 취약점 발견된 워드프레스, 현재 해커들끼리의 싸움거리
작성자 관리자 등록일시 2020-09-15 18:42:16
첨부파일
[보안뉴스 문가용 기자] 10만 개가 넘는 워드프레스 기반 웹사이트들에서 고위험군 취약점이 발견됐다. 인기 높은 워드프레스용 플러그인에 기인한 것으로, 공격자들이 이를 익스플로잇 할 경우 각종 이메일과 뉴스레터를 그럴 듯하게 조작해 사이트 구독자들을 공격할 수 있게 된다고 한다.

[이미지 = utoimage]


문제가 되고 있는 플러그인은 ‘이메일 섭스크라이버 앤 뉴스레터(Email Subscribers & Newsletters)’로 아이스그램(Icegram)이라는 회사에서 만든 프로그램이다. 사이트 관리자들이 고객들에게 보다 쉽게 뉴스레터와 알림 이메일을 보낼 수 있게 해준다. 공격자들이 이 플러그임의 취약점을 익스플로잇 하는 데 성공할 경우 이 고객들에게 가는 이메일 내용물을 완전히 마음대로 조정할 수 있다고 한다. 4.5.6 버전 이상으로 업그레이드 하면 문제가 해결된다.

이 취약점은 CVE-2020-5780으로, CVSS를 기준으로 7.5점을 받았다. 4.5.6 이하 버전에 영향을 준다. CVE-2020-5780은 class-es-newsletters.php 클래서에서 발견된 이메일 조작 및 스푸핑 취약점으로 정의할 수 있다. 이를 발견한 보안 업체 테너블(Tenable)은 보안 권고문을 통해 “인증을 통과하지 못한 사용자가 에이젝스 요청을 admin_ini 후크로 전송할 수 있게 해주는 취약점”이라고 설명하며 “이 때문에 process_broadcast_submission 함수에 대한 호출이 발동된다”고 밝혔다.

이 때 요청문의 매개변수를 조작함으로써 연락처(발송처) 목록 전체에 새로운 연락이 전달될 수 있도록 스케줄을 짜는 게 가능하다는 게 테너블의 설명이다. “인증 절차가 부실하기 때문입니다. 기본적인 인증 절차를 거쳤다고 해서 메시지를 연락처 전체에 발송할 수 있다는 건 처음부터 말이 되지 않습니다.”

공격 시나리오는 다음과 같다.
1) 공격자가 취약한 플러그인이 설치된 워드프레스를 찾아낸다.
2) 원격에서 먼저 특수하게 조작된 요청을 워드프레스 서버로 보낸다.
3) 이 요청은 새로운 뉴스레터가 사이트에 등록된 모든 사용자에게 전송되도록 하는 기능을 가지고 있다.
4) 당연히 요청 내에는 발송 시간, 수신자, 이메일 및 뉴스레터 내용 등이 포함되어 있다.

테너블은 “최근 유명인들의 트위터 계정인을 통해 비트코인 사기 시도가 발생했다는 것을 잘 알고 있을 것”이라며 “이번에 발견된 워드프레스 플러그인 취약점을 통해 그와 비슷한 공격을 하는 게 가능하다”고 설명했다. “그것도 표적형으로 말이죠. 이메일의 출처가 신뢰할 만한 워드프레스 웹사이트이므로 피해자가 의심할 만한 여지가 별로 없습니다. 사람을 속이는 게 대단히 간단해집니다.”

테너블 측이 이 취약점을 아이스그램 측에 알린 것은 8월 26일의 일이다. 패치가 발표된 건 지난 주다. 현재까지 테너블이나 아이스그램 모두 “실제 공격에 활용된 사례”는 발견하지 못했다고 한다.
워드프레스 생태계에서는 플러그인 취약점이 자주 발견되는 편이다. 8월 초에만 하더라도 퀴즈와 설문조사를 진행하도록 해주는 워드프레스 플러그인에서 두 개의 치명적인 취약점이 발견됐었다. 익스플로잇 될 경우 웹사이트 전체를 해커가 장악하는 것도 가능했다. 같은 달에는 30만 번 이상 다운로드 및 설치된 인기 앱 뉴스레터(Newsletter)에서 코드 실행 및 사이트 장악 취약점 두 개가 발견되기도 했었다.

이처럼 워드프레스 사이트에서 심각한 취약점이 빈번하게 발견되자 해커들 사이에서는 워드프레스 전쟁이 터지고 있기도 하다. 보안 업체 데피안트(Defiant)에 의하면 “해커들은 자신이 먼저 장악한 워드프레스 사이트에 각종 보안 장치를 마련해 다른 해커들이 침해하는 걸 막기 시작한다”고 한다. 영역 침범을 불허하기 위해 오히려 사이트를 탄탄하게 해주는 아이러니한 상황이 발생하고 있다는 것이다.

“취약한 사이트를 스캔하고 청소하다 보면 다양한 공격자들의 흔적을 발견할 수 있습니다. 그리고 그 중에는 유독 자주 나타난다거나 유독 깊이 침투하는 데 성공한 멀웨어가 하나 있습니다. 이 멀웨어를 운영하던 자가 스스로를 사이트의 원래 주인(관리자 제외)이라고 생각하는 사람이라고 봅니다. 한 편에서는 사이트를 계속해서 침투하면서, 다른 한 편에서는 다른 공격자의 침해 시도를 막아선 것이죠. 지금 해커들은 워드프레스 영역 다툼에 한창입니다.” 데피안트가 해외 IT 매체 블리핑컴퓨터와의 인터뷰를 통해 한 말이다.

국제부 문가용 기자(globoan@boannews.com)

출처 : https://www.boannews.com/media/view.asp?idx=91159&page=1&mkind=1&kind= 



이전글  ▲ "한곳만 뚫려도 시스템 마비"…스마트공장, 해커 공격에 무방비
다음글  ▼ '자율주행 핵심기술 중국에 유출' KAIST 교수 구속기소
닫기