포스팅 내용

국내외 보안동향

[해외보안동향] 레볼루션 슬라이더 플러그인 취약점을 통한 워드프레스 홈페이지 해킹 발생

레볼루션 슬라이더 플러그인 취약점을 통한 워드프레스 홈페이지 해킹 발생



독일의 CERT-Bund와 Yonathan Klijnsma는 레볼루션 슬라이더(Slider Revolution취약점을 통해 전세계 최소 3000개의 워드프레스로 구축된 홈페이지가 해킹당했다고 밝혔습니다공격자들은 취약한 버전의 레볼루션 슬라이더 플러그인을 사용하는 웹사이트들을 대상으로 삼았습니다.

            

2014년 12월 레볼루션 슬라이더 취약점을 통해 100,000개이상의 홈페이지가 SoakSoak 악성코드에 감염되는 사건이 발생했습니다Sucuri사는 공격을 당한 홈페이지를 대상으로 조사를 해보았으나, 정확한 공격 요인은 확인할 수 없었습니다. 그러나 임시 분석을 통해 몇 달 전 확인된 레볼루션 슬라이더 취약점과의 연관성을 찾아낼 수 있었습니다.


▶ 관련 글 : http://blog.alyac.co.kr/219


그리고 이번 공격 또한 레볼루션 슬라이더 취약점을 이용하여 홈페이지에 악성 iframe을 심은 것으로 밝혀졌습니다. 공격자는 악성코드에 감염된 홈페이지에 방문하는 사용자들을 exploit이 포함된 사이트로 리다이렉트시킵니다. 이후  LFI(Local File Inclusion) 취약점을 이용하여 새로운 관리자 계정을 만들고 악성 스크립트를 추가시킨 후, 기타 워드프레스 플러그인에 백도어를 심어놓습니다. 


공격 과정은 아래와 같습니다. 


1. RevSlider 취약점을 이용하여 새로운 관리자 계정을 생성합니다. 

2. Smart.php 파일명을 가진 스크립트를 업로드합니다.

3. 다른 두개의 플러그인에 백도어를 심어놓고, ‘nav-menu.php’ 파일을 수정합니다. 


일반적으로 공격자는 희생자를 Fiesta EK가 포함되어 있는 홈페이지로 리다이렉트 시키지만, Angler EK를 사용할 때도 있다고 밝혔습니다. Exploit kit은 크립토락커, 금융정보를 노린 트로이목마에서 사용되는 방법입니다.

    

Klijnsma는 이미 공격 당한 홈페이지의 경우, 관리자 계정을 모두 삭제하고 새로운 비밀번호의 관리자 계정을 만들 것을 권고했습니다. 또한 자신의 홈페이지에 있는 모든 php문서와 워드프레스 공식 페이지에 있는 문서를 비교를 하여 수정된 파일이 있는지 확인한 후, 수정된 파일이 있을 경우에는 원래의 파일로 복구해야 합니다. 만일 현재 사용하고 있는 레볼루션 슬라이더 플러그인이 최신버전이 아니라면 최신 버전으로 업데이트하여 사용해 주시길 바랍니다.



참조:

http://securityaffairs.co/wordpress/35431/cyber-crime/revslider-plugin-vulnerable.html


티스토리 방명록 작성
name password homepage