“Real-Time Find and Replace” 플러그인 취약점으로 인해 워드프레스 사이트 10만 개 이상 해킹 위험에 처해

100k+ WordPress sites exposed to hack due to a bug in Real-Time Find and Replace plugin

“Real-Time Find and Replace” 플러그인의 취약점으로 인해 공격자가 악성 관리자 계정을 생성 가능한 것으로 나타났습니다.

이 플러그인은 관리자가 테마 및 기타 플러그인의 코드와 텍스트를 동적으로 변경할 수 있는 기능을 제공하며 현재 워드프레스 사이트 10만 개 이상에 설치되어 있습니다.

Wordfence의 연구원들이 발견한 이 취약점은 CSRF 문제로 Stored XSS 공격으로 이어질 수 있습니다.

공격자들은 워드프레스 관리자가 댓글이나 이메일의 악성 링크를 클릭하도록 속여 악성 자바스크립트를 그들 웹사이트의 페이지에 주입하고 이 문제를 촉발시킬 수 있습니다.

WordFence는 지난 4월 22일 이 문제를 플러그인 개발팀에 제보했으며, 개발 팀은 단 몇 시간 후 이를 수정하는 패치를 발행했습니다.

WordFence는 이 취약점의 심각도를 ‘높음’으로 분류하였으며, CVSS 점수는 8.8로 등록되었습니다.

이 문제는 Real-Time Find and Replace 버전 3.9 이하 모든 버전에 존재하며, 버전 4.0.2에서 수정되었습니다.

공격자는 이 취약점을 악용하여 타깃 워드프레스 사이트의 제어권을 얻을 수 있습니다.

그리고 악성코드는 사용자가 오리지널 콘텐츠를 포함하고 있는 페이지를 방문할 때마다 실행될 수 있습니다.

 

[그림 1] <head> HTML 태그 -> 자바스크립트 변경 예시

<이미지 출처: https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-patched-in-real-time-find-and-replace-plugin/>

전문가들은 이 플러그인이 웹사이트의 데이터가 사용자의 브라우저로 전송되기 전 콘텐츠를 변경하기 위해서 activate_plugins의 기능 요구사항과 함께 far_options_page 기능과 연결된 서브 메뉴 페이지를 등록한다고 설명했습니다.

이 far_options_page 기능은 새로운 찾기/바꾸기 기능을 추가하기 위한 코드를 포함합니다. 하지만 전문가들은 이 과정에서 nonce 검증이 되지 않았다고 설명했습니다. 

룰 업데이트 시 요청이 발생한 출처에 대한 무결성이 확인되지 않았다는 이야기입니다. 이로써 공격자가 CSRF 공격을 실행할 수 있습니다.

이 플러그인을 사용 중이라면 즉시 4.0.2 버전으로 업데이트하시기 바랍니다.

최근 워드프레스 플러그인의 취약점을 악용하려는 공격 시도 횟수가 증가하고 있는 추세이기 때문에 사용자들의 각별한 주의가 필요합니다.

출처:

https://securityaffairs.co/wordpress/102391/hacking/wordpress-real-time-find-and-replace-flaw.html

https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-patched-in-real-time-find-and-replace-plugin/