지방소재 K모 대학 사이트에서 파일 업로드 취약점이 발견됐다. 간단한 우회를 통해 침투가 가능한 상황이었다. 현재는 패치가 완료된 상태다.
 
이를 발견하고 데일리시큐에 제보한 김관영(Hacker Odin 소속)씨는 “K대학 취약점을 발견하고 국정원에 우선 신고를 하고 데일리시큐에 제보를 했다. 그 과정에서 패치가 먼저 이루어졌다”며 “취약점이 발견된 페이지는 현재 관리를 하지 않고 있는 페이지였다. 하지만 공격자에게는 관리미흡 페이지를 해킹하고 신뢰를 바탕을 쉽게 중요한 서버를 해킹할 수 있어 주의해야 한다”고 강조했다.
 
특히 파일 업로드 취약점에 대해 “애플리케이션 개발, 운영 환경과 동일한 언어로 작성된 공격 파일을 웹 서버 측에 업로드한 후, 원격으로 해당 파일에 접근해 실행시키는 취약점”이라며 “작성된 공격파일의 기능에 따라서 위험도가 다양해진다. 공격자가 조작한 서버 사이드 스크립트 파일을 업로드하고 업로드 된 파일이 서버 상에 저장된 경로를 유추한 후 이 경로를 통해 서버 사이드 스크립트 파일을 실행해 일종의 쉘을 획득할 수 있고 이러한 과정을 통해 웹 서버의 권한이 노출될 수 있어 신경을 써야 한다”고 설명했다.
 
이번에 K대학에서 발견된 취약점은 관리미흡으로 발생한 파일 업로드 취약점으로 서버 사이드 스크립트 파일에 대한 검증 부족으로 인해 발생한 취약점이다. 파일 업로드 취약점을 이용해 웹쉘을 업로드하고 시스템을 장악할 수 있어 관리자의 세심한 주의가 요구된다.
 
제보자는 “파일 업로드 취약점을 방어하기 위해 웹 소스코드에서 첨부파일의 확장자를 필터링 했지만 소스코드 부분이 취약해서 간단하게 우회가 가능하다. 웹쉘 업로드는 다양한 우회기법이 존재한다”며 “파일 업로드 취약점을 이용해 웹쉘 업로드 시 정상적으로 웹쉘이 실행되는 것을 알 수 있다. 웹쉘은 서버를 해킹하는 도구 중 하나로 공격자가 원격에서 공격대상 웹 서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 파일이다. 웹쉘 공격은 우선 공격자가 취약점을 이용해 웹 서버에 웹쉘을 심어 놓은 후, 한참 뒤에 이를 작동시켜 스팸메일 발송, 개인정보유출 등의 명령을 실행시킨다”고 말했다.
 
그는 취약점 대응방안에 대해 “파일 업로드 취약점 대응 방법은 다양한 방법이 있으며 파일 업로드 취약점은 업로드를 처리하는 웹 소스코드에서 첨부파일의 확장자를 보고 필터링한다”며 “또한 디렉터리 스크립트 실행설정을 제거해서 웹쉘이 업로드 되더라도 실행하지 않게 환경을 구성하면 된다”고 조언했다.
 
이번 취약점은 김관영씨에 의해 지난 10월 7일 최초 발견돼 국정원과 데일리시큐에 제보됐으며 이를 통해 현재 취약점 패치가 완료된 상태다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com