2024-03-29 19:50 (금)
XE-제로보드 사용 홈페이지 강제삭제 가능한 취약점!
상태바
XE-제로보드 사용 홈페이지 강제삭제 가능한 취약점!
  • 길민권
  • 승인 2012.10.25 06:29
이 기사를 공유합니다

호스팅업체 취약점, 명령어 설정 잘못해 발생…조치 필요!
N사는 웹호스팅, 서버호스팅, NVC 클라우드 전문서비스를 중소기업 및 소상공인들을 대상으로 제공하고 있다. 그런데 nxxxxx.com에서 제공하는 무료서버의 취약점을 이용하면 XE 또는 제로보드로 운영하는 홈페이지를 삭제 할 수 있는 취약점이 발견됐다. 즉 공격자가 nxxxxx.com의 회사 서비스를 사용하는 유저들을 강제로 종료시킬 수 있다는 것이다.(해당 업체 관계자는 유료 웹호스팅이나 서버호스팅, NVC 클라우드 전문서비스는 이번 취약점과 상관이 없으며 철저히 보안관리를 해 오고 있다고 전해왔다.) 
 
데일리시큐에 N사(현재 해당 취약점을 패치한 상태이므로 회사명은 이니셜로 처리)의 취약점을 제보해 온 변인수 군은 “이 취약점은 해당 서비스 유저가 홈페이지를 만드는 도중 공격자가 강제로 꺼버릴 수 있는 상황”이라며 “계정소유자의 홈페이지로 들어가려면 4개(기사에는 공개불가)만 입력하면 해당 디렉터리로 이동이 가능하다. 그리고 어떤 명령어(공개 불가)만 입력하면 공동 소유의 파일들이 모조리 날아갈 수 있는 취약점이다. 이 방법으로 인해 XE 또는 제로보드로 운영중인 회사, 개인 사이트 등을 한꺼번에 삭제해 버릴 수 있게 된다”고 설명했다.
 
이러한 문제가 발생하는 원인에 대해 그는 “일반 유저가 사용하면 안되는 명령어를 사용하도록 허용해서 그런 것이다. skill 명령어를 일반 유저가 사용하지 못하게 설정해 야 할 것 같다”고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★