Home > 전체기사
워드프레스의 GDPR 플러그인에서 치명적인 취약점 발견돼
  |  입력 : 2020-02-14 21:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 준수를 도와주는 플러그인...인기 급증하던 와중에 치명적 결함 발견돼
1.8.2 이하 버전에서는 공격자가 웹사이트 사실상 장악 가능...1.8.3 업데이트 필요


[보안뉴스 문가용 기자] 인기 높은 워드프레스(WordPress) 플러그인에서 치명적인 취약점이 발견됐다. 이 플러그인은 GDPR 준수 여부를 확인해주는 기능을 가지고 있어 사용률이 빠르게 늘어나고 있었다. 취약점 익스플로잇에 성공할 경우 공격자는 콘텐츠를 조작하거나 악성 자바스크립트 코드를 주입할 수 있게 된다. 플러그인 개발사는 이를 빠르게 업데이트했다.

[이미지 = iclickart]


문제의 플러그인은 GDPR 쿠키 콘센트(GDPR Cookie Consent)로, GDPR 준수에 도움을 줌으로써 이미 70만 번이 넘게 설치된 전적을 가지고 있다. 이런 곳에서 취약점이 발견됐으니, 공격자들에게 매력적인 표적이 될 수밖에 없었다.

취약점에는 아직 CVE 번호가 부여되지 않았지만, GDPR 쿠키 콘센트 1.8.2 및 이하 버전에서 발견되고 있다고 한다. 취약점 발견 소식과 함께 워드프레스 플러그인 디렉토리 관리자인 WordPress.org는 해당 플러그인을 삭제했다. 개발사인 쿠키 로 인포(Cookie Law Info)는 2월 10일 1.8.3 버전을 발표했다.

해당 취약점을 발견한 건 닌테크넷(NinTechNet)의 보안 전문가인 제롬 브루안뎃(Jerome Bruandet)이라는 인물로, 패치가 나오고 나서 상세한 취약점 기술 내역을 공개하기도 했다. 브루안뎃이 공개한 바에 따르면 취약점은 ‘GDPR 쿠키 콘센트’ 플러그인의 에이잭스(AJAX) API에 존재한다고 한다. 특히 “_construct”라는 메소드에서 문제가 있는 것으로 나타났다. “쉽게 말하면 해당 메소드에는 새로운 객체 생성 후 확인하는 기능이 없습니다.”

이 때문에 원래는 관리자만 접근할 수 있어야 하는 에이잭스 엔드포인트가 일반 사용자들에게도 접근 가능한 것이 되어버리고 만다. “이 메소드는 에이잭스 API로부터 세 가지 값을 받습니다. 이 중 save_contentdata와 autosave_contant_data를 공격자들이 악용할 수 있게 됩니다.”

save_contentdata를 악용할 경우 관리자가 GDPR 쿠키 알림 메시지를 데이터베이스에 페이지 포스트 유형으로 저장할 수 있게 된다. 하지만 이 값이 제대로 확인되지 않기 때문에 아무나 현존하는 페이지나 포스트 혹은 웹사이트 전체를 조작할 수 있게 된다고 브루안뎃은 설명한다. “심지어 사이트를 오프라인으로 만들 수도 있게 되죠.”

autosave_contant_data는 GDPR 쿠키 정보 페이지를 관리자가 편집하는 과정 중에 배경에서 자동으로 저장하는 기능이다. 이 때 데이터는 cli_pg_content_data 데이터베이스 필드에 저장되는데, 이 과정에서 확인이라는 절차가 진행되지 않는다. 이 때문에 자바스크립트 코드를 웹 페이지에 주입하는 게 가능해진다. 이 경우 코드가 페이지 로딩 시마다 실행될 수 있다.

브루안뎃은 “이 취약점은 웹사이트를 크게 망쳐놓을 수 있게 해주는 것으로, 빠른 업데이트가 필요하다”고 촉구했다. 그는 포스팅을 통해 “사용자들은 최대한 빨리 1.8.3 버전으로 업데이트를 하셔야 합니다.”

3줄 요약
1. 워드프레스의 인기 플러그인에서 치명적인 취약점 발견됨.
2. 이 플러그인은 GDPR 준수 여부를 확인해주는 것으로, 빠르게 퍼지는 중이었음.
3. 개발사는 이를 얼른 수정해 1.8.3 버전을 발표함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)