상세 컨텐츠
본문
2018년 11월, 화이트 해커들은 9월에 패치되었던 Adobe ColdFusion 서버 임의 파일 업로드 취약점(CVE-2018-15961)의 이용 흔적을 발견했으며, 해커들은 해당 취약점을 악용하여 jsp 스크립트 파일을 업로드하여 원격에서 명령을 실행하였다고 밝혔습니다.
또한 테스트를 진행해본 결과, 악성코드 스크립트들은 모두 system 권한으로 실행되며, 이로서 서버가 완전히 해커에게 장악되며 봇넷이나 마이닝에 악용될 가능성도 존재합니다.
Adobe ColdFusion에서는 몇 년 동안 끊임없이 고위험 취약점들이 발생하였으며, 이 취약점들은 모두 역직렬화 혹은 임의 명령 실행 취약점들이였습니다.
이번 패치에 대해 전 세계 사용자들의 관심이 쏠리고 있으며, 전체 프로세스에 대한 보안 수준 향상에 대해서는 아직 갈 길이 멀어 보입니다.
취약점 번호
CVE-2018-15961
취약점 원리
ColdFusion는 FCKEditor 편집기 대신 CKEditor편집기를 사용하였는데, 이 때문에 파일 확장자를 무시하고 업로드 할 수 있는 취약점이 발생하는 것입니다.
해당 취약점은 settings.cfm안에 존재합니다. settings.cfm은 cfc,exe,php,asp,cfm,cfml 확장자를 가진 파일들은 업로드를 제한하지만, jsp 확장자에 대해서는 제한하지 않으며, coldfusion이 jsp 압축 해제를 지원합니다. 때문에 jsp 악성코드를 이용하여 getshell이 가능한 것입니다.
공격자는 POST 패킷을 조작하여 HTTP Request를 통하여/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/upload.cfm에 전송하면 임의 파일 업로드가 가능하게 되는 것입니다.
영향받는 버전
Adobe ColdFusion 2016.0 Update 6
Adobe ColdFusion 2016.0 Update 5
Adobe ColdFusion 2016.0 Update 4
Adobe ColdFusion 2016.0 Update 3
Adobe ColdFusion 2016.0 Update 2
Adobe ColdFusion 2016.0 Update 1
Adobe ColdFusion 2018.0.0.310739
Adobe ColdFusion 11 Update 9
Adobe ColdFusion 11 Update 8
Adobe ColdFusion 11 Update 7
Adobe ColdFusion 11 Update 6
Adobe ColdFusion 11 Update 5
Adobe ColdFusion 11 Update 4
Adobe ColdFusion 11 Update 3
Adobe ColdFusion 11 Update 2
Adobe ColdFusion 11 Update 14
Adobe ColdFusion 11 Update 13
Adobe ColdFusion 11 Update 12
Adobe ColdFusion 11 Update 11
Adobe ColdFusion 11 Update 10
Adobe ColdFusion 11 Update 1
패치방법
출처 :
https://www.securityfocus.com/bid/105314
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15961
'국내외 보안동향' 카테고리의 다른 글
| 올림픽 디스트로이어(Olympic Destroyer)의 새 변종 발견 (0) | 2018.11.16 |
|---|---|
| Intel, AMD, ARM CPU에서 새로운 Meltdown, Spectre 유형 CPU 결점 7개 발견 (0) | 2018.11.15 |
| BGP 유출로 인한 구글 서비스 다운 발생; 러시아, 중국, 나이지리아를 통해 트래픽 하이잭 (0) | 2018.11.14 |
| 해커를 해킹하다 – IoT 봇넷 제작자, ZTE 라우터 백도어 최상층에 본인의 백도어 삽입 해 (0) | 2018.11.14 |
| 리눅스 크립토마이너, 은신을 유지하기 위해 루트킷 사용하기 시작 (0) | 2018.11.12 |
댓글 영역