Home > 전체기사
이메일 조작 취약점 발견된 워드프레스, 현재 해커들끼리의 싸움거리
  |  입력 : 2020-09-14 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
10만 개 이상의 사이트에서 사용되고 있는 플러그인...섭스크라이버 앤 뉴스레터
워드프레스 노리는 공격자들, 먼저 침해한 자가 임자? 후발 공격자들 막으려 보안 강화


[보안뉴스 문가용 기자] 10만 개가 넘는 워드프레스 기반 웹사이트들에서 고위험군 취약점이 발견됐다. 인기 높은 워드프레스용 플러그인에 기인한 것으로, 공격자들이 이를 익스플로잇 할 경우 각종 이메일과 뉴스레터를 그럴 듯하게 조작해 사이트 구독자들을 공격할 수 있게 된다고 한다.

[이미지 = utoimage]


문제가 되고 있는 플러그인은 ‘이메일 섭스크라이버 앤 뉴스레터(Email Subscribers & Newsletters)’로 아이스그램(Icegram)이라는 회사에서 만든 프로그램이다. 사이트 관리자들이 고객들에게 보다 쉽게 뉴스레터와 알림 이메일을 보낼 수 있게 해준다. 공격자들이 이 플러그임의 취약점을 익스플로잇 하는 데 성공할 경우 이 고객들에게 가는 이메일 내용물을 완전히 마음대로 조정할 수 있다고 한다. 4.5.6 버전 이상으로 업그레이드 하면 문제가 해결된다.

이 취약점은 CVE-2020-5780으로, CVSS를 기준으로 7.5점을 받았다. 4.5.6 이하 버전에 영향을 준다. CVE-2020-5780은 class-es-newsletters.php 클래서에서 발견된 이메일 조작 및 스푸핑 취약점으로 정의할 수 있다. 이를 발견한 보안 업체 테너블(Tenable)은 보안 권고문을 통해 “인증을 통과하지 못한 사용자가 에이젝스 요청을 admin_ini 후크로 전송할 수 있게 해주는 취약점”이라고 설명하며 “이 때문에 process_broadcast_submission 함수에 대한 호출이 발동된다”고 밝혔다.

이 때 요청문의 매개변수를 조작함으로써 연락처(발송처) 목록 전체에 새로운 연락이 전달될 수 있도록 스케줄을 짜는 게 가능하다는 게 테너블의 설명이다. “인증 절차가 부실하기 때문입니다. 기본적인 인증 절차를 거쳤다고 해서 메시지를 연락처 전체에 발송할 수 있다는 건 처음부터 말이 되지 않습니다.”

공격 시나리오는 다음과 같다.
1) 공격자가 취약한 플러그인이 설치된 워드프레스를 찾아낸다.
2) 원격에서 먼저 특수하게 조작된 요청을 워드프레스 서버로 보낸다.
3) 이 요청은 새로운 뉴스레터가 사이트에 등록된 모든 사용자에게 전송되도록 하는 기능을 가지고 있다.
4) 당연히 요청 내에는 발송 시간, 수신자, 이메일 및 뉴스레터 내용 등이 포함되어 있다.

테너블은 “최근 유명인들의 트위터 계정인을 통해 비트코인 사기 시도가 발생했다는 것을 잘 알고 있을 것”이라며 “이번에 발견된 워드프레스 플러그인 취약점을 통해 그와 비슷한 공격을 하는 게 가능하다”고 설명했다. “그것도 표적형으로 말이죠. 이메일의 출처가 신뢰할 만한 워드프레스 웹사이트이므로 피해자가 의심할 만한 여지가 별로 없습니다. 사람을 속이는 게 대단히 간단해집니다.”

테너블 측이 이 취약점을 아이스그램 측에 알린 것은 8월 26일의 일이다. 패치가 발표된 건 지난 주다. 현재까지 테너블이나 아이스그램 모두 “실제 공격에 활용된 사례”는 발견하지 못했다고 한다.
워드프레스 생태계에서는 플러그인 취약점이 자주 발견되는 편이다. 8월 초에만 하더라도 퀴즈와 설문조사를 진행하도록 해주는 워드프레스 플러그인에서 두 개의 치명적인 취약점이 발견됐었다. 익스플로잇 될 경우 웹사이트 전체를 해커가 장악하는 것도 가능했다. 같은 달에는 30만 번 이상 다운로드 및 설치된 인기 앱 뉴스레터(Newsletter)에서 코드 실행 및 사이트 장악 취약점 두 개가 발견되기도 했었다.

이처럼 워드프레스 사이트에서 심각한 취약점이 빈번하게 발견되자 해커들 사이에서는 워드프레스 전쟁이 터지고 있기도 하다. 보안 업체 데피안트(Defiant)에 의하면 “해커들은 자신이 먼저 장악한 워드프레스 사이트에 각종 보안 장치를 마련해 다른 해커들이 침해하는 걸 막기 시작한다”고 한다. 영역 침범을 불허하기 위해 오히려 사이트를 탄탄하게 해주는 아이러니한 상황이 발생하고 있다는 것이다.

“취약한 사이트를 스캔하고 청소하다 보면 다양한 공격자들의 흔적을 발견할 수 있습니다. 그리고 그 중에는 유독 자주 나타난다거나 유독 깊이 침투하는 데 성공한 멀웨어가 하나 있습니다. 이 멀웨어를 운영하던 자가 스스로를 사이트의 원래 주인(관리자 제외)이라고 생각하는 사람이라고 봅니다. 한 편에서는 사이트를 계속해서 침투하면서, 다른 한 편에서는 다른 공격자의 침해 시도를 막아선 것이죠. 지금 해커들은 워드프레스 영역 다툼에 한창입니다.” 데피안트가 해외 IT 매체 블리핑컴퓨터와의 인터뷰를 통해 한 말이다.

3줄 요약
1. 워드프레스에서 최근 이메일 조작케 해주는 취약점이 발견됨.
2. 문제의 근원은 Email Subscribers & Newsletters라는 플러그인.
3. 현재 해커들은 워드프레스 사이트 침해하고, 먼저 침해한 사이트 보호하면서 전쟁 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상