포스팅 내용

국내외 보안동향

해커들, 공개 된 Drupal의 원격 코드 실행 취약점 악용하기 시작해

Hackers Have Started Exploiting Drupal RCE Exploit Released Yesterday


최근 Drupal의 취약점의 익스플로잇 코드가 공개되었으며, 해커들이 이를 악용하기 시작한 것으로 확인되었습니다. 


약 2주 전 Drupal의 보안 팀은 매우 치명적인 원격 코드 실행 취약점을 발견했습니다. Drupalgeddon2로 명명 된 이 취약점은 공격자가 취약한 웹사이트를 완전히 탈취할 수 있도록 허용합니다.


이 취약점을 해결하기 위해, 회사는 기술적 세부사항을 공개하지 않은 채 즉시 Drupal의 업데이트 버전을 공개해 백만 개 이상의 사이트들이 패치를 적용할 충분한 시간을 주었습니다.


그리고 이틀 후, 연구원들은 이 취약점 (CVE-2018- 7600)에 대한 완벽한 기술적 세부정보를 공개했습니다. 이들은 Drupalgeddon2의 PoC 익스플로잇 코드를 GitHub에 공개했습니다.


Drupalgeddon2 취약점은 Drupal 6 ~ 8의 모든 버전에 영향을 미치고, 인증 받지 않은 원격의 공격자가 디폴트, 또는 일반적인 Drupal 사이트에서 악성 코드를 실행시킬 수 있도록 허용합니다.


연구원들에 따르면, 이 취약점은 Form API (FAPI) AJAX 요청으로 전달 되는 입력에 대한 검사를 충분히 하지 않았기 때문에 발생합니다.


“그 결과, 공격자는 악성 페이로드를 내부 양식 구조에 주입할 수 있게 됩니다. 이로써 Drupal은 사용자의 허가 없이도 이를 실행하게 됩니다.”, ”이 취약점을 악용함으로써 공격자는 모든 Drupal 고객의 사이트 전체를 탈취할 수 있습니다.”


정상적으로 동작하는 것으로 확인 된 이 PoC 익스플로잇이 공개된 후, 연구원들은 Drupalgeddon2를 악용하려는 시도를 목격하기 시작했습니다. 하지만 아직까지 웹사이트가 해킹 되었다는 보고는 받지 못했습니다.


여전히 취약한 버전의 Drupal을 사용하는 사이트 관리자라면, Drupal 7.58이나 Drupal 8.5.1로 가능한 빨리 업데이트 해 공격을 피하기를 추천합니다. 이 취약점은 이미 2016년 2월 지원이 종료 된 Drupal 6에도 영향을 미치며, 이에 대한 패치도 공개 되었습니다.





참고 :

https://thehackernews.com/2018/04/drupal-rce- exploit-code.html

https://www.drupal.org/sa-core- 2018-002



티스토리 방명록 작성
name password homepage