Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보현재까지도 패치되지 않은 osCommerce 취약점에 대한 공격
작성일 2019-06-05 조회 939

 

 

 

osCommerce 에서 원격 코드 실행 취약점이 존재합니다.

 

해당 취약점은 초기 설치 이후에 삭제되지 않는 install_4.php 파일에 의해 발생하며,
해당 설치 페이지를 요청하면 이미 설치되어 있는지 확인하지 않으며 추가적인 인증이 존재하지 않습니다.

 

DIR_FS_DOCUMENT_ROOT 과 같이 요청하여야 동작합니다.

 

이와 관련하여 윈스 분석팀에서 해당 취약점을 이용한 다수의 공격을 확인하여 추적하고 있습니다.

 

[어플리케이션 설명]
* osCommerce
오픈 소스로 제공되는 전자 상거래 및 온라인 상점 관리 소프트웨어 프로그램으로, PHP 와 MySQL이 설치되어 있어야 한다.

 

 

취약점 설명

 

NO CVE

 

 

취약점 분석


POST로 전달된 변수 값들 중에 "DIR_FS_DOCUMENT_ROOT" 의 값이 존재하여야 작동하며,
- 해당 값이 존재하지 않으면 쓰기가 진행되지 않습니다.

 

DB_DATABASE 전달된 값이 configure.php 파일에 쓰여지게 됩니다.

 

[그림1. 소스코드 내역]

 

해당 프로그램의 공식 웹사이트에서는 해당 버전을 가장 먼저 다운로드 받을 수 있게 제공하고 있습니다.
또한 아직도 패치가 진행되지 않은 것으로 판단 됩니다.

 

[그림2. 공식홈페이지 내역]

 


POC 내역

 

Exploit DB 및 Github, Metasploit 모듈 등 다수의 공개된 POC가 존재합니다.

 


[그림3. POC 내역]

 

 

공격 분석

 

osCommerce 에 대한 공격은 스캔성으로 진행 되고 있으나,

- User-Agent 의 값이 Baiduspider 로 설정되어 있습니다. 

 

해당 공격이 성공 할 경우 한 줄 웹쉘과 동일하게 작동되므로 주의가 필요합니다.

 

윈스 허니넷에서는 취약점을 이용한 공격을 확인 하였습니다.

 

[그림4. 탐지 내역]

 

오픈소스로 제공되는 osCommerce 의 경우 유지보수가 진행되고 있지 않습니다.

혹여나 해당 프로그램을 사용하는 경우 다른 프로그램으로 변경을 권고 드립니다.

 


취약점 대응 방안

 

1. 대체 프로그램 사용

 

2. WINS Sniper 대응 방안

 

*Sniper IPS

4804 osCommerce install_4.php RCE


*Sniper UTM

805374927 osCommerce install_4.php RCE

 

*Sniper APTX

4080 osCommerce install_4.php RCE

 

 

참고


https://www.exploit-db.com/exploits/44374

https://github.com/osCommerce/oscommerce2/issues?page=2&q=is%3Aissue+is%3Aopen

 

 

첨부파일 첨부파일이 없습니다.
태그 제로데이  osCommerce  DIR_FS_DOCUMENT_ROOT