백업파일 및 소스코드, 스크립트 유출로 공격에 이용 가능해
개인용 스트리밍 음악서비스 사이트 아이멥스에 디렉토리 리스팅 취약점이 발견됐다. 이를 통해 다양한 정보 유출로 이어질 수 있어 주의해야 한다.해당 취약점을 데일리시큐에 제보한 문승현(서산중) 군은 “구글에 특정 URL(기사에서는 공개 불가)을 검색하면 아이멥스의 디렉토리가 그대로 노출된다는 것을 발견했다”며 “확인결과 아이멥스 웹서버의 특정 파일과 디렉토리 목록이 모두 나열돼 있다”고 제보해 왔다.
확인 결과 실제로 아래와 같은 아이멥스 디렉토리가 구글에 그대로 노출된다는 것을 확인할 수 있다.
<아이멥스 디렉토리 노출 일부화면 캡처>
문 군은 “여기서 문제는 파일 저장 및 열람이 가능하다면 백업파일 및 소스코드, 스크립트의 유출로 인한 계정정보 유출과 다양한 정보를 공격자에게 제공이 되며 제2,제3의 공격에 이용이 가능하다”며 “신속한 보안조치가 필요하다”고 강조했다.
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지