Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-9841] PHPUnit 취약점을 이용한 지속적인 SCAN 발생
작성일 2019-06-28 조회 2589

 

 

PHPUnit 에서 원격 코드 실행 취약점이 존재 합니다.

 

해당 취약점은 eval-stdin.php 페이지를 요청 할 때 적절한 인증이 존재하지 않아 발생 합니다.

 

원격의 공격자는 해당 페이지와 함께 악의적인 php 구문(한줄 웹쉘등)을 이용하여 악용 할 수 있고,
악용에 성공하면 임의의 코드를 실행 할 수 있습니다.

 

[용어 설명]
* PHPUnit
PHPUnit은 PHP를위한 프로그래머 지향 테스트 프레임 워크입니다.

 


취약점 설명

 

NVD - CVE-2017-9841

CVSS v3.0 Severity and Metrics:

Base Score: 9.8 CRITICAL

 

"<?php" 부분 문자열로 시작하는 HTTP POST 데이터를 통해 임의의 PHP 코드를 실행할 수 있습니다.

 


[그림1. NVD 내역]

 


취약점 분석

 

php:input 의 취약한 구문을 php:stdin 으로 변경하여 패치 하였습니다.

 

[그림2. 패치 내역]

 

공격 분석

 

PHPUnit 취약점의 경우 현재 활발하게 공격이 진행되고 있습니다.


윈스 허니넷에서는 취약점 여부를 확인하는 SCAN 공격이 지속적으로 확인 되고 있습니다.

 

하루에 천건 이상의 공격이 확인 되며, 확인되는 페이로드가 동일합니다.

 

PHP 의 die 함수를 이용하여 에러 없이 메시지 출력 후 종료를 시도 하고 있습니다.

 

[그림3. 탐지 내역]

 

[그림4. 패킷 내역]

 


PHPUnit 의 경우 국내에서 어느정도 사용하고 있는것으로 확인 됩니다.

현재 대량의 SCAN 공격이 발생하고 있으므로 주의가 필요합니다.

 


취약점 대응 방안

 

1. 최신 버전 사용

해당 벤더사의 최신버전으로 소프트웨어를 사용 합니다.
https://phpunit.de/getting-started/phpunit-8.html

 

2. WINS Sniper 대응 방안

 

*Sniper IPS

[4845] PHPUnit eval-stdin.php RCE


*Sniper UTM

[805374962] PHPUnit eval-stdin.php RCE


*Sniper APTX

[4121] PHPUnit eval-stdin.php RCE

 


참고

https://nvd.nist.gov/vuln/detail/CVE-2017-9841
https://github.com/sebastianbergmann/phpunit/commit/284a69fb88a2d0845d23f42974a583d8f59bf5a5

 

첨부파일 첨부파일이 없습니다.
태그 PHPUnit   CVE-2017-9841