Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

취약점 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2019-16759] vBulletin 제로데이 취약점 공격 탐지
작성일 2019-09-30 조회 380

 

 

최근 익명의 연구원이 vBulletin 에서의 RCE 0day 취약점을 공개해 이슈가 되고있습니다.

 

취약점을 발견한 연구원은 vBulletin 에 미리 알리지 않은 상태로 PoC(Proof of Concept)를 공개하였으며, 취약점이 공개되자마자 vBulletin 측에서는 빠르게 패치했습니다. 

 

 

해당 취약점은 CVE-2019-16759 를 부여받았으며, CVSS v3 기준 9.8(HIGH)점을 받았습니다. 

 

vBulletin 5.x 대 버전에서 영향을 받는 것으로 알려졌으며, vBulletin 서버의 기본 설정에서도 취약점을 성공적으로 익스플로잇 할 수 있습니다.
 
공격 성공 시, 공격자는 관리자의 권한으로 임의의 명령을 실행할 수 있습니다.
 

 

※ vBulletin 은 온라인 포럼 애플리케이션으로, 전 세계 수많은 웹사이트가 실제로 사용하고 있습니다. 대표적으로 소니(Sony), 나사(NASA), EA, 징가(Zynga) 등의 업체들이 사용하고 있습니다.

 

 

 

취약점이 발표된 이후 CVE-2019-16759 취약점 공격이 지속적으로 탐지되고 있는 것을 확인할 수 있습니다. 

 

 

[그림1. CVE-2019-16759 취약점 공격 탐지 로그 (출처 : 윈스 허니넷)]

 

 

 

 


취약점 설명

 

NVD - CVE-2019-16759

CVSS v2.0 Severity and Metrics:

Base Score: 7.5 HIGH

 

 


 

[그림2. NVD 내역]

 

 


취약점 분석

 

Bulletin 취약한 버전에서는 별도의 설정없이 기본 구성 시 취약점에 노출되어있습니다.

 

해당 취약점은 ajax/render/widget_php 경로를 사용하여 사이트가 임의의 위젯을 렌더링할 수 있어 발생합니다.

 

공격자는 widgetConfig[code] 매개 변수를 조작하여 임의의 명령을 실행할 수 있습니다.

 

 

 

아래의 코드에서 evalCode 함수를 콜백하면 $code 인수에 전달된 모든 명령이 실행된다.

 

 

[그림3. ajax/render/widget_php 코드 중 일부]

 

 

 

[그림4. include/vb5/frontend/controller/bbcode.php 코드 중 일부]

 

 

 

공격 분석

 

취약점이 공개된 후, CVE-219-16759 취약점에 대한 다수의 공격이 탐지되었습니다. 

 

 

 

공격자는 MD5 유효성 검사를 추가하여 취약한 스니펫을 수정합니다. <공격 패킷1 참조>

 

결과적으로 공격자는 자신이 해킹한 사이트에 대한 접근을 유지하고, 다른 잠재적 해커가 해당 시스템에 침입하는 것을 막습니다.

 

 

[그림5. 공격 패킷1]

 

 

 

공격자는 /tmp/nigga 폴더를 생성하고, 특정 서버로부터 악성코드로 추정되는 파일을 다운로드 및 실행한다. <공격 패킷 2 참조>

 

 

[그림6. 공격 패킷2]

 

 

 


취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 보안 권고문을 참고하여 패치를 적용합니다.

 

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4332166-security-patch-release-for-vbulletin-5-connect-versions-5-1-4-through-5-1-9

 

 

2. WINS Sniper 대응 방안

 

*Sniper IPS

[4987] vBulletin widgetConfig RCE
[4988] vBulletin widgetConfig RCE

 

*Sniper UTM

[805375057] vBulletin widgetConfig RCE
[805375058] vBulletin widgetConfig RCE


*Sniper APTX

[4262] vBulletin widgetConfig RCE
[4263] vBulletin widgetConfig RCE

 

첨부파일 첨부파일이 없습니다.
태그