2024-03-29 04:35 (금)
[긴급] Display Widgets 플러그인 워드프레스 웹사이트에 사용 중이면 위험
상태바
[긴급] Display Widgets 플러그인 워드프레스 웹사이트에 사용 중이면 위험
  • 길민권 기자
  • 승인 2017.09.19 05:34
이 기사를 공유합니다

백도어 포함 된 Display Widgets 플러그인, 20만개 워드프레스 사이트들에 스팸 노출 가능해

hac-1-1.jpg
Display Widgets 플러그인이 백도어가 포함된 채 업데이트 되어 이를 사용하는 20만개의 워드프레스 웹사이트들이 위험에 처했다.

보안연구원들은 “Display Widgets 플러그인을 워드프레스 웹사이트에 사용 중이라면, 즉시 제거하기 바란다. 해당 플러그인의 최근 업데이트 3건에 제작자가 당신의 웹사이트에 어떤 컨텐츠건 게시할 수 있도록 허용하는 백도어가 포함 되어 있다”고 경고했다.

또 “이 플러그인의 제작자는 이 백도어를 이용해 그들의 플러그인을 사용하는 사이트들에 스팸 컨텐츠들을 게시해왔다. 지난 3개월동안, 해당 플러그인은 WordPress.org 플로그인 저장소에서 4회 정도 제거된 후 재등록 되었다. 이 플러그인은 약 20만개의 워드프레스 웹사이트에서 사용중인 것으로 나타났다”고 밝혔다.

플러그인 이름은 Display Widgets이며, 제작자는 이를 지난 5월 19일 써드파티 개발자에게 1만5천달러에 판매했다.

판매 후 1개월 만에, 새로운 개발자는 이 플러그인을 처음으로 업데이트 하며 이상한 행동을 보였다. 이 플러그인은 플러그인 저장소에서 여러 번 제거된 후 9월달부터 여러 번 업데이트 되었다.

6월 21일 공개 된 Display Widgets 플러그인 버전 2.6.0은 38MB의 코드(Maxmind IP 위치 정보 데이터베이스)를 외부 서버로부터 다운로드하는 것이 발각되어 2일만에 저장소에서 삭제 되었다.

며칠 후인 6월 30일 공개 된 버전 2.6.1은 geolocation.php라는 악성 파일을 포함하며 플러그인을 사용하는 웹사이트에 새로운 컨텐츠를 올릴 수 있는 기능이 포함 되었다. 또한 페이지의 코드는 제작자가 사이트 관리자들에게 아무런 알림 없이 컨텐츠를 업데이트하고 제거할 수 있도록 허용했다.

이는 워드프레스 저장소에서 7월 1일 제거 되었다. 하지만 제작자는 추가 버전을 계속 공개했다.

Display Widgets의 2.6.2 버전은 1주일 후 공개 되었으며, 악성코드도 업데이트 되었으나 7월 24일 다시 저장소에서 제거 되었다. 이후 9월 2일 버전 2.6.3을 공개했으며, 버그를 수정하기 위해 악성 코드가 업데이트 되었다. 이후 저장소에서 9월 8일 제거 되었다.

전문가들은 해당 플러그인의 버전 2.6.1 ~ 2.6.3을 사용하는 워드프레스 사이트들은 악성코드의 영향을 받아 스팸 컨텐츠를 표시할 수 있다고 밝혔다. [정보제공. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★