100k+ WordPress sites exposed to hack due to a bug in Real-Time Find and Replace plugin
“Real-Time Find and Replace” 플러그인의 취약점으로 인해 공격자가 악성 관리자 계정을 생성 가능한 것으로 나타났습니다.
이 플러그인은 관리자가 테마 및 기타 플러그인의 코드와 텍스트를 동적으로 변경할 수 있는 기능을 제공하며 현재 워드프레스 사이트 10만 개 이상에 설치되어 있습니다.
Wordfence의 연구원들이 발견한 이 취약점은 CSRF 문제로 Stored XSS 공격으로 이어질 수 있습니다.
공격자들은 워드프레스 관리자가 댓글이나 이메일의 악성 링크를 클릭하도록 속여 악성 자바스크립트를 그들 웹사이트의 페이지에 주입하고 이 문제를 촉발시킬 수 있습니다.
WordFence는 지난 4월 22일 이 문제를 플러그인 개발팀에 제보했으며, 개발 팀은 단 몇 시간 후 이를 수정하는 패치를 발행했습니다.
WordFence는 이 취약점의 심각도를 ‘높음’으로 분류하였으며, CVSS 점수는 8.8로 등록되었습니다.
이 문제는 Real-Time Find and Replace 버전 3.9 이하 모든 버전에 존재하며, 버전 4.0.2에서 수정되었습니다.
공격자는 이 취약점을 악용하여 타깃 워드프레스 사이트의 제어권을 얻을 수 있습니다.
그리고 악성코드는 사용자가 오리지널 콘텐츠를 포함하고 있는 페이지를 방문할 때마다 실행될 수 있습니다.
[그림 1] <head> HTML 태그 -> 자바스크립트 변경 예시
<이미지 출처: https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-patched-in-real-time-find-and-replace-plugin/>
전문가들은 이 플러그인이 웹사이트의 데이터가 사용자의 브라우저로 전송되기 전 콘텐츠를 변경하기 위해서 activate_plugins의 기능 요구사항과 함께 far_options_page 기능과 연결된 서브 메뉴 페이지를 등록한다고 설명했습니다.
이 far_options_page 기능은 새로운 찾기/바꾸기 기능을 추가하기 위한 코드를 포함합니다. 하지만 전문가들은 이 과정에서 nonce 검증이 되지 않았다고 설명했습니다.
룰 업데이트 시 요청이 발생한 출처에 대한 무결성이 확인되지 않았다는 이야기입니다. 이로써 공격자가 CSRF 공격을 실행할 수 있습니다.
이 플러그인을 사용 중이라면 즉시 4.0.2 버전으로 업데이트하시기 바랍니다.
최근 워드프레스 플러그인의 취약점을 악용하려는 공격 시도 횟수가 증가하고 있는 추세이기 때문에 사용자들의 각별한 주의가 필요합니다.
출처:
https://securityaffairs.co/wordpress/102391/hacking/wordpress-real-time-find-and-replace-flaw.html
데이터센터 수천 곳에 영향을 미치는 심각한 SaltStack 원격 코드 실행 취약점 발견 (0) | 2020.05.04 |
---|---|
다시 돌아온 Lucy 악성코드, 랜섬웨어 기능 등 추가하고 FBI 벌금 테마 사용 (0) | 2020.04.29 |
마이크로소프트 팀즈, 이미지를 통해 계정 탈취 가능한 취약점 수정 (0) | 2020.04.28 |
닌텐도 사용자 계정 16만 건 유출돼 (1) | 2020.04.28 |
악성 USB 드라이브, 컴퓨터 3만 5천 대 가상화폐 채굴 봇넷에 감염 시켜 (0) | 2020.04.27 |
댓글 영역