2019-11-22 23:21 (금)
vBulletin에 두가지 코드실행 제로데이 취약점 발견돼 주의
상태바
vBulletin에 두가지 코드실행 제로데이 취약점 발견돼 주의
  • hsk 기자
  • 승인 2017.12.19 14:35
이 기사를 공유합니다

vBulletin, 전세계 10만개 이상 사이트에서 사용되고 있어 각별한 주의 필요

aaaa-4.jpg
지난 5월, 연구원들이 비욘드 시큐리티의 SecuriTeam Secure Disclosure 프로그램을 통해 vBulletin 포럼 CMS 버전 5에 영향을 미치는 두개의 코드 실행 취약점을 공개했다.

vBulletin은 현재 포춘 500과 Alexa Top 1M 기업들을 포함해 10만개 이상의 사이트에서 사용되고 있다. 한편 vBulletin은 오랫동안 해커들의 타깃이었으며 공격자들이 다른 시스템에 접근하기 위한 공략할 수 있는 쉬운 접속 포인트였다.

해당 결함은 이탈리아 보안 회사인 TRUEL IT의 보안 연구원과 알려지지 않은 한 연구원에 의해 발견됐다. 취약점은 아직 패치되지 않았지만 vBulletin 개발팀은 가능한 빨리 수정하려고 노력 중이다.

첫번째 취약점은 한 개인 연구원에 의해 보고되었다. 인증되지 않은 파일 포함 문제로 설명되는 이 취약점은 원격 코드 실행으로 이어질 수 있다. 공격자는 악의적인 PHP 코드를 access.log와 같은 서버 파일에 포함시킨 다음 routestring= 파라미터를 조작한 파일을 포함시켜 공격자의 코드가 실행되게 할 수 있다.

보안 권고문에서는 “vBulletin은 공격자가 서버에 파일을 삽입하고 임의의 PHP 코드를 실행시킬 수 있는 취약점을 가지고 있다. 인증되지 않은 사용자가 매개변수 route-string=. 파일 포함 취약점을 트리거할 수 있는 /index.php에 GET 요청을 보낼 수 있다.”고 언급한다. 또 “해당 요청을 통해 공격자는 윈도우에 설치된 vBulletin 서버에 정교한 요청을 작성하고 웹 서버에 어떠한 파일도 올리도록 할 수 있다”고 덧붙였다.

CVE 넘버 CVE-2017-17672가 붙은 두번째 취약점은 인증되지 않은 deserialization(역직렬화) 취약점이다. TRUEL IT의 보안 연구원에 의해 보고된 이 취약점은 공격자가 일부 파일을 삭제하고 임의 코드를 실행시켜 익스플로잇할 수 있다.

보안 권고문은 “사용자가 넣은 입력값에서 PHP unserialize()의 안전하지 않은 사용으로 인증되지 않은 공격자가 임의의 파일을 삭제하고 특정 상황에서 vBulletin 설치시 임의 코드를 실행시킬 수 있다”고 설명한다.

연구원들은 두가지 취약점에 대한 PoC 코드도 공개했다. Beyond Security는 11월 21일 vBulletin에 결함들을 처음 보고했지만 어떠한 응답도 받지 못했다고 주장했다. 그러나 해외 전문매체에 따르면 개발팀이 이미 패치를 개발했고 테스트 중이라고 보도했다.

★정보보안 대표 미디어 데일리시큐!★