0xNews - WordPress 금융 플러그인 취약점을 악용하여 하이재킹 공격 캠페인 발견
0xNews - WordPress 금융 플러그인 취약점을 악용하여 하이재킹 공격 캠페인 발견
Wordfence 발표
워드프레스 WordPress 의 금융 플러그인 중 하나인 WooCommerce Payments 에서 발견된 보안 취약점을 악용
CVE-2023-28121 지정
CVSS 9.8
인증되지 않은 공격자가 임의의 사용자로 위장
관리자를 포함하여 위장된 사용자로 일부 작업을 수행
사이트 탈취로 이어질 수 있는 인증 우회 사례
2023년 7월 14일부터 해당 취약점을 악용하여 대규모 공격 수행
7월 16일 15만 7천여개 사이트에 대해 130만건 공격 확인
WooCommerce Payments v.4.8.0~5.6.1 이 취약 대상 버전
이 플러그인을 이용하여 60만개 이상 사이트에서 설치되서 이용 중
버그에 대한 패치는 2023년 3월 WooCommerce 에서 다시 릴리스
워드프레스는 영향을 받는 소프트웨어 버전을 사용하는 사이트에서 자동 업데이트 수행
이번 공격 캠페인에서 관찰된 공통점
HTTP request header 를 X-Wcpay-Platform-Checkout-User: 1 로 사용을 수반
취약한 사이트가 추가 페이로드를 관리 사용자로부터 오는 것으로 처리하도록 함
이를 통해 공격자는 관리자가 악성 코드를 실행하고 파일 업로더를 설치하도록 유도
공격자는 지속성을 확보하고 손상된 사이트를 백도어하여 사용할 수 있는 WP Console 플러그인을 배포하기 위해 무기화 수행
이번 공격 켐페인은 Rapid7 이 2023년 7월 13일부터 다수 고객 환경에서 Adobe ColdFusion 취약점을 적극적으로 악용하여 감염된 엔드포인트에 웹셀을 배포하는 것을 관찰했다는 리포트를 확인하면서 파악
공격자들이 2차 취약점과 함께 CVE-2023-29298 취약점을 악용하는 것으로 판단
추가 취약점인 CVE-2023-38203(CVE 9.8) 로 판단
CVE-2023-29298(CVE 7.5)
Adobe ColdFusion 2023, ColdFusion 2021 update 6 이하, ColdFusion 2018 update 16 이하 등에서 영향을 미침
접속 우회 취약점과 관련이 있음
Rapid7 에서의 위 보안 취약점 정보 공개 사이트 링크
이 취약점으로 인해 공격자는 요청된 URL에 예기치 않은 추가 슬래시 문자를 삽입 injection
관리 엔드포인트에 접속 가능
CVE-2023-29298 에 대한 업데이트가 진행됐지만 수정이 불완전하다고 평가
공격자는 Adobe 에서 출시한 패치를 우회하도록 수정이 가능하다고 경고
CVE-2023-38203 을 해결하기 위해 적용된 수정 사항이 익스플로잇 체인을 끊음
사용자는 잠재적인 위협으로부터 보호하기 위해 최신 버전의 Adobe ColdFusion 으로 업데이트 하는 것을 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.