해커가 1백만 사이트 이상을 탈취할 수 있는 치명적인 워드프레스 플러그인 취약점 발견

Critical WordPress plugin bug lets hackers take over 1M sites

해커들이 패치되지 않은 사이트 내에서 원격으로 임의 코드를 실행하여 사이트를 해킹하기 위해 Elementor 워드프레스 플러그인용 Elementor Pro/Ultimate 애드온의 보안 취약점 2개를 활발히 악용하고 있습니다.

5월 6일, Wordfence에서는 해커들이 이 취약점 2개를 실제 공격에 악용하고 있어 주의가 필요하다고 경고했습니다.

악용 성공 이후 사이트 삭제 가능해

Elementor Pro는 활성 사용자가 1백만 이상인 유료 플러그인으로, 내장된 테마 빌더, 비주얼 폼 위젯 디자이너, 커스텀 CSS 서포트 등을 통해 워드프레스 사이트를 쉽게 생성할 수 있게 해줍니다.

Elementor Pro의 취약점은 원격 코드 실행 취약점으로 치명적으로 분류되었습니다. 

공격자는 원격으로 타깃 웹사이트에 임의 파일을 업로드하고 코드를 실행할 수 있습니다. 공격이 시작되었을 당시, 이 취약점은 패치되지 않은 제로데이 상태였습니다.

악용에 성공한 공격자는 이후 해킹된 사이트에 지속적으로 접근하기 위해 백도어 또는 웹 셸을 설치하고, 전체 관리자 권한을 얻어 사이트를 완전히 해킹하고 심지어 삭제도 가능합니다.

공격자가 사용자로 가입이 불가능할 경우, Ultimate Addons for Elementor 워드프레스 플러그인(11만 개 사이트 이상에 설치됨)에 존재하는 두 번째 취약점을 악용하여 ‘구독자’ 사용자로 등록할 수 있습니다.

이후 새로이 등록한 계정을 통해 Elementor Pro의 취약점을 악용하여 원격 코드 실행이 가능합니다.

완화 조치

현재 진행 중인 공격을 방어하기 위해서는 Elementor Pro를 버전 2.9.4로 업데이트해 원격 코드 실행 취약점을 패치해야 합니다.

Ultimate Addons for Elementor를 사용 중일 경우 1.24.2 또는 이후 버전으로 업그레이드해야 합니다.

<이미지 출처: https://twitter.com/wordfence/status/1258433474727272448>

Wordfence는 사이트 해킹을 확인하기 위해 아래 방법을 사용할 것을 조언했습니다.

사이트에 신원이 확실하지 않은 ‘구독자’로 등록된 사용자가 있는지 확인하기

- 사이트가 이 캠페인을 통해 해킹당했다는 증거일 수 있습니다. 만약 해당 계정을 발견할 경우 제거하시기 바랍니다.

“wp-xmlrpc.php” 파일이 있는지 확인하기

- 이 파일이 존재할 경우 해킹 당했을 가능성이 있습니다.

"/wp-content/uploads/elementor/custom-icons/" 경로 내 알 수 없는 모든 파일 및 폴더 삭제하기

- 악성 구독자 계정이 생성된 후 이 경로에 파일이 생성되어 있을 경우 사이트가 해킹 당했다는 것을 나타냅니다.

출처:

https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-bug-lets-hackers-take-over-1m-sites/

https://www.wordfence.com/blog/2020/05/combined-attack-on-elementor-pro-and-ultimate-addons-for-elementor-puts-1-million-sites-at-risk/