제로보드(Zeroboard)XE 시스템 권한 획득 취약점이 발견됐다. 제로보드는 국내에서 가장 잘 알려진 무료 게시판 서비스다. 버전 4에서 XE로 업그레이드되면서 전체적으로 상당히 많은 변화가 일어났다. 하지만 이 XE 버전 뿐만 아니라 제로보드 전체 버전에서 XSS(크로스 사이트 스크립팅) 취약점 공격으로 관리자 뿐만 아니라 시스템 권한까지 획득이 가능하다는 것이 밝혀져 신속한 패치 및 사용자들의 주의가 요구된다.  
 
제로보드 XE로 접어들면서 시스템 권한 획득과 관련된 취약성 발표가 현재까지 전무한 상태였다. 그나마 XSS, CSRF 등의 클라이언트 사이드 공격이 그 명맥을 유지하고 있다. 그럼에도 불구하고 최신 버전의 제로보드 XE에서 여전히 시스템 권한을 장악할 수 있는 취약성이 존재하고 있다.
 
이 취약점을 최초 발표한 인하대학교 컴퓨터클럽 NewHeart는 “XE 관리자 페이지에서 제공되는 레이아웃 수정 메뉴에서 PHP 코드 실행이 가능한 문제점이 존재한다”며 “하지만 이는 관리자 권한이 필요하다는 전제가 있는데 공격자는 Ajax를 활용한 단 한번의 XSS 공격으로 게시판 관리자와 시스템 권한까지 모두 획득 가능하다”고 밝혔다.
 
아래 이미지는 해당 메뉴에서 PHP 코드를 삽입한 모습과 삽입한 PHP 코드가 실행된 화면을 보여주고 있다.

 
시스템 권한을 획득하기 위한 공격 코드 수행 절차는 다음과 같다.
 
1. 보드명(mid)를 통해 관리자 페이지에서 모듈번호(module_srl)를 획득
2. 모듈번호(module_srl)를 통해 레이아웃 번호(layout_srl)를 획득
3. 레이아웃 헤더에 시스템 권한 획득을 위한 PHP 코드 삽입
4. PHP 코드 실행을 위한 미리보기 페이지 요청
 
좀더 자세히 살펴보면 다음과 같다.
다음은 CSRF 공격 코드를 삽입한 게시글을 관리자가 읽었을 때의 화면이다.

 
관리자가 위 게시글을 읽게 되면 다음과 같이 서버상의 시스템 명령을 실행시킬 수 있는 백도어가 생성된다.

 
인하대 컴퓨터클럽 NewHeart는 “이 취약점을 공개한 뒤 제로보드는 1.5.1.8 긴급 보안패치를 통해 레이아웃에 ‘<?’로 시작하는 PHP코드를 사용 못하게 패치를 했지만 레이아웃 수정 하단에 있는 '미리보기' 버튼을 통해 여전히 PHP 코드 실행이 가능하다”고 강조했다.
 
또 “결론은 제로보드 XE 버전뿐만 아니라 전체 버전에서 XSS 공격만으로도 시스템 권한을 획득할 수 있다는 것이다. XSS 공격 특성상 관리자의 패스워드가 아닌 세션을 훔쳐오기 때문에, PHP코드가 실행되는 민감한 기능인 레이아웃 수정과 같은 기능은 관리자 패스워드 확인 과정을 거친 뒤 수정 가능하게 하면 방어가 가능하다”며 ”그럼에도 불구하고 패스워드를 거치게 수정을 하지 않고 PHP 코드를 못쓰게 막아버렸는데 그마저도 미리보기로 PHP코드 실행이 되니 문제가 되는 것”이라고 지적했다.
 
제로보드 XE는 해당 취약점에 대해 PHP코드가 실행되는 민감한 기능인 레이아웃 수정과 같은 것은 하단에 관리자 패스워드를 한번 더 입력해야 수정이 가능하도록 신속히 조치해야 한다.
 
◇최초 취약점 발표문서: newheart.inha.ac.kr/xe/1698
◇문의사항: korea.hellsonic@gmail.com
[데일리시큐=길민권 기자]