포스팅 내용

국내외 보안동향

Adobe ColdFusion 원격명령실행 취약점(CVE-2018-15961)주의!

2018년 11월, 화이트 해커들은 9월에 패치되었던 Adobe ColdFusion 서버 임의 파일 업로드 취약점(CVE-2018-15961)의 이용 흔적을 발견했으며, 해커들은 해당 취약점을 악용하여 jsp 스크립트 파일을 업로드하여 원격에서 명령을 실행하였다고 밝혔습니다. 


또한 테스트를 진행해본 결과, 악성코드 스크립트들은 모두 system 권한으로 실행되며, 이로서 서버가 완전히 해커에게 장악되며 봇넷이나 마이닝에 악용될 가능성도 존재합니다. 


Adobe ColdFusion에서는 몇 년 동안 끊임없이 고위험 취약점들이 발생하였으며, 이 취약점들은 모두 역직렬화 혹은 임의 명령 실행 취약점들이였습니다. 


이번 패치에 대해 전 세계 사용자들의 관심이 쏠리고 있으며, 전체 프로세스에 대한 보안 수준 향상에 대해서는 아직 갈 길이 멀어 보입니다. 



취약점 번호


CVE-2018-15961



취약점 원리


ColdFusion는 FCKEditor 편집기 대신 CKEditor편집기를 사용하였는데, 이 때문에 파일 확장자를 무시하고 업로드 할 수 있는 취약점이 발생하는 것입니다. 


해당 취약점은 settings.cfm안에 존재합니다. settings.cfm은 cfc,exe,php,asp,cfm,cfml 확장자를 가진 파일들은 업로드를 제한하지만, jsp 확장자에 대해서는 제한하지 않으며, coldfusion이 jsp 압축 해제를 지원합니다. 때문에 jsp 악성코드를 이용하여 getshell이 가능한 것입니다. 


공격자는 POST 패킷을 조작하여 HTTP Request를 통하여/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/upload.cfm에 전송하면 임의 파일 업로드가 가능하게 되는 것입니다. 



영향받는 버전


Adobe ColdFusion 2016.0 Update 6

Adobe ColdFusion 2016.0 Update 5

Adobe ColdFusion 2016.0 Update 4

Adobe ColdFusion 2016.0 Update 3

Adobe ColdFusion 2016.0 Update 2

Adobe ColdFusion 2016.0 Update 1

Adobe ColdFusion 2018.0.0.310739

Adobe ColdFusion 11 Update 9

Adobe ColdFusion 11 Update 8

Adobe ColdFusion 11 Update 7

Adobe ColdFusion 11 Update 6

Adobe ColdFusion 11 Update 5

Adobe ColdFusion 11 Update 4

Adobe ColdFusion 11 Update 3

Adobe ColdFusion 11 Update 2

Adobe ColdFusion 11 Update 14

Adobe ColdFusion 11 Update 13

Adobe ColdFusion 11 Update 12

Adobe ColdFusion 11 Update 11

Adobe ColdFusion 11 Update 10

Adobe ColdFusion 11 Update 1



패치방법


최신버전으로 업데이트 




출처 :

https://www.securityfocus.com/bid/105314

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15961


티스토리 방명록 작성
name password homepage