포스팅 내용

국내외 보안동향

ColdFusion의 심각한 제로데이 버그 실제 공격에 악용 돼, 즉시 업데이트 필요

Update ColdFusion Now, Critical Zero-Day Bug Exploited in the Wild


금일 어도비가 ColdFusion 웹 앱 개발 플랫폼의 치명적인 취약점을 수정하는 긴급 업데이트를 발표했습니다. 이 버그는 임의 코드 실행으로 이어질 수 있으며, 실제 공격에 악용 되고 있습니다.


이 보안 이슈는 공격자가 파일을 업로드 하는데 걸린 제한을 우회할 수 있도록 합니다. 악용을 위해서 공격자들은 웹 서버의 파일 디렉토리에 실행 가능한 코드를 업로드 할 수 있어야 합니다. 어도비에 따르면, 이후 이 코드는 HTTP 요청을 통해 실행이 가능합니다.



치명적인 버그, 실제 공격에 악용 돼


현재 업데이트를 받지 않은 모든 ColdFusion 버전이 플랫폼에 상관 없이 이 취약점 (CVE-2019-7816)에 영향을 받는 것으로 나타났습니다.


이 취약점은 독립 컨설턴트인 Charlie Arehart가 제보 하였으며, 그는 자신의 고객이 이 취약점을 악용한 공격을 받아 버그를 발견하게 되었다고 밝혔습니다.


공격자의 접근 방법을 확인 후, 그는 솔루션 제안과 함께 어도비에 이를 제보했습니다. 어도비는 즉시 이에 응답하였으며 수일 내에 패치를 공개하였습니다.


그는 해커가 공격을 실행하는 방법에 대해서는 자세한 정보를 공개하지 않았습니다. 공격자들이 패치 되지 않은 서버에 이를 악용할 것을 우려했기 때문입니다. 그는 사용자들이 이 픽스를 적용하는 것은 매우 중요하다고 밝혔습니다.


하지만, 그는 숙련 된 공격자라면 어도비의 보안 공지의 내용에서 찾은 단서들을 연결 시켜 이 결함을 악용하는 방법을 알아내는 것이 가능할 수 있다고 밝혔습니다.



패치방법


당장 최신 업데이트를 적용하는 것이 불가능할 경우, 위험을 완화할 수 있는 방법 중 하나는 업로드 된 파일을 저장하는 디렉토리로의 요청에 대한 제한을 두는 것입니다. 또한 개발자들은 어도비 ColdFusion 가이드라인에서 권장한 것처럼 실행 가능한 확장자를 허용하지 않고 목록을 확인하도록 코드를 수정해야 할 것입니다.


이 공격에 취약한 버전은 ColdFusion 2018(업데이트 2 및 이전 버전), 2016(업데이트 9 및 이전 버전), ColdFusion 11(업데이트 11 및 이전 버전)입니다.


또한 cffile 태그/함수를 통해 업로드 되지 않아야 할 확장자의 목록을 생성할 수 있는 “CFFile 업로드에 대한 차단 된 파일 확장자” 옵션도 서버 설정 메뉴에 추가했습니다.


이 설정은 업데이트를 통해 추가 되며 업로드 되지 않아야 할 파일 확장자를 블랙리스팅할 수 있도록 하는 blockedExtForFileUpload라는 어플리케이션 수준의 설정 보다 우선하므로 매우 중요합니다.



출처 :

https://www.bleepingcomputer.com/news/security/update-coldfusion-now-critical-zero-day-bug-exploited-in-the-wild/



티스토리 방명록 작성
name password homepage