포스팅 내용

국내외 보안동향

해커들, 지난주 공개된 최신 Drupal RCE 취약점 활발히 악용해

Hackers Actively Exploiting Latest Drupal RCE Flaw Published Last Week


사이버 범죄자들이 아직 패치를 적용하지 않은 취약한 드루팔(Drupal) 웹사이트에 가상화폐 마이너를 설치하기 위해 이미 패치된 취약점을 실제 공격에 악용하기 시작한 것으로 나타났습니다.


<이미지 출처: https://thehackernews.com/2019/02/drupal-hacking-exploit.html>


지난주, 오픈소스 컨텐츠 관리 시스템 드루팔이 코어에 존재하는 치명적인 원격 코드 실행 취약점 (CVE-2019-6340)을 패치 했습니다. 이 취약점을 악용하면 공격자가 취약한 웹사이트를 해킹할 수 있습니다.


보안 취약점의 기술적 세부 사항은 공개되지 않았지만, 드루팔의 보안팀이 패치를 발행한 지 불과 이틀 만에 PoC 익스플로잇 코드가 인터넷에 공개되었습니다.


그리고 최근 보안 업체인 Imperva가 익스플로잇 코드가 공개된 지 단 하루 만에 고객의 웹사이트에서 CVE-2019-6340를 악용하는 일련의 공격을 발견했습니다.


다른 국가의 공격자 다수가 실행한 이 공격은 아직까지 드루팔 코어 취약점을 패치하지 않은 정부, 금융 업계 웹사이트 등 취약한 드루팔 웹사이트를 노립니다.


연구원들에 따르면, 이 공격은 드루팔 개발자들이 취약점에 대한 패치를 공개한지 3일만인 2월 23일 시작되어 JavaScript 가상화폐 마이너인 CoinIMP를 취약한 드루팔 웹사이트에 넣어 모네로와 웹체인 코인을 채굴하려 시도했습니다.


악명 높은 CoinHive 서비스와 마찬가지로, CoinIMP 또한 브라우저 기반 가상화폐 마이닝 스크립트이며, 공격자들이 취약한 드루팔 웹사이트의 index.php 파일에 넣어 방문자들이 메인 페이지를 브라우징할 때 마이닝 스크립트가 실행되어 사이트의 가상화폐를 채굴하도록 합니다.


공격자들이 패치 된 취약점을 악용하여 드루팔 웹사이트를 노린 것은 이번이 처음은 아닙니다. 작년, 공격자들은 치명적인 원격 코드 실행 취약점인 Drupalgeddon2, Drupalgeddon3을 악용하여 수십만 Drupal 웹사이트들을 공격했습니다.


이 경우에도 보안 연구원들이 PoC 익스플로잇 코드를 공개한 후 공격이 시작되었으며, 대규모 인터넷 스캐닝 및 악용 시도로 이어졌습니다.


아직도 드루팔의 취약한 버전을 사용 중인 웹사이트 관리자들은 악용을 피하기 위해 가능한 빨리 Drupal 8.6.10 또는 Drupal 8.5.11로 업데이트 할 것을 권장합니다.


하지만 웹사이트가 이미 해킹 된 상태라면, 드루팔 업데이트로 백도어나 악성코드가 제거되지 않습니다. 이 경우 문제를 완전히 해결하려면 드루팔 가이드를 따르는 것이 좋습니다.




출처:

https://thehackernews.com/2019/02/drupal-hacking-exploit.html


티스토리 방명록 작성
name password homepage