Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보CMS 웹서버를 대상으로 공격하는 자동화 도구 분석
작성일 2018-02-22 조회 1128

 


개요
CMS 도구를 이용하여 만든 웹 서비스 서버에 X Attacker 도구를 통한 취약점이 존재한다.

 

해당 취약점은 악의적으로 만들어진 X Attacker 도구를 통해 발생한다. 해당 도구는 다수의 알려진 CMS 인 WordPress, Joomla, DruPal, PrestaShop 취약점을 Scan 및 악용 한다. 

 

공격 성공 시, 공격 대상 웹 서버에 임의의 파일 업로드/다운로드가 가능 하다.

 

 

확인 내역
예전 부터 script kiddie 들을 위한 다양한 공격 도구가 만들어지고 Github 나 다크웹(DarkWeb)을 통해 공유되고 있습니다.

 

최근에는 일회성의 공격도구를 넘어서,
Google 에서 검색되는 웹사이트를 대상으로 다양한 취약점을 테스트 및 실제 파일 업로드, 디페이스 까지 자동으로 진행되는 도구들이 존재합니다.

 

최근 당사 허니넷에서도 이러한 공격들이 확인 되고 있습니다.

 

해당 도구 테스트를 위한 구성은 아래와 같습니다.


* 192.168.1.247 Kali - [ 공격자 ]
* 192.168.1.245 WebServer - [ 피해자 ] WordPress 운영 및 취약한 플러그인 사용

 


[그림1. 도구 실행 화면]

 

대상자 WordPress 웹서버에서는 취약한 Revslider 버전의 플러그인을 사용하고 있습니다.

 

* 해당 플러그인 관련하여 취약점 설명 내역

[CVE-2015-1579] WordPress SliderRevolution 파일 다운로드
http://www.wins21.co.kr/blog/blog-sub-02.html?t=31&d=49&num=136

 

[CVE-2014-9735] WordPress Slider Revolution 파일 업로드
http://www.wins21.co.kr/blog/blog-sub-02.html?t=31&d=49&num=132

 

[그림2. 취약한 버전의 플러그인(Revslider)]

 


[그림3. 디페이스 내역]

 

해당 도구를 가상 환경이 아닌 실제 웹서버에 테스트하는 경우 정보통신망법에 저촉될 가능성이 있습니다.

주의 하시기 바랍니다.

 


대응 방안

1) 최신의 플러그인을 사용한다.

 

2) 당사 Sniper 에서는 아래의 패턴으로 대응 가능하다

패턴 블럭 : [4100] Web Vulnerability Scanner(XAttacker)
패턴 블럭 : [3349] Wordpress Slider Revolution Plugin File Download Vul
패턴 블럭 : [3340] Wordpress Slider Revolution(Showbiz) Plugin FileUpload Vul
외 다수

 

첨부파일 첨부파일이 없습니다.
태그 CMS   kiddie  자동화도구  XAttacker  Revslider