<취약점>
인증되지 않은 공격자는 새로운 관리자 계정을 추가하여 목표 웹사이트에 대한 접근 권한을 획득할 수 있음.
<공격 패턴>
(1) 공격자는 취약점을 공격하여 설정을 조작하고, 새로운 사용자를 등록할 수 있게 함.
새로 등록된 사용자를 ‘관리자’로 바꿔 사이트의 관리자 접근 권한을 가능하게 함
관리자 권한을 획득한 후에 새 등록자 계정을 일반 계정으로 원상복귀 시켜 다른 공격자의 침입을 막고, 의심을 받지 않게 함.
새로 생성한 개정으로 로그인한 뒤 공격자는 PHP 웹셸을 업로드하여 공격 최종 완료
(2) 웹사이트 WP-크론 스케줄에 악의적인 행동을 취해 백도어를 설치하는 방법의 공격
공격보다 훨씬 더 복잡하지만, 백도어가 제거된 후에도 계속해서 백도어를 생성할 수 있음
<영향성>
하이재킹한 웹사이트를 이용해 공격자는 스팸, 피싱, 직/간접적인 금융 사기 등의 다양한 공격을 펼칠 수 있음
현 시점에서 이러한 공격을 펼치는 해커들이 목적이 불분명하여 즉각적인 대응 필요.
<WordPress GDPR 준수 플러그인>
WordPress GDPR 준수 플러그인은 웹사이트 운영자가 EU의 일반개인정보보호법(GDPR(General Data Protection Regulation))을 지킬 수 있도록 고안된 것. Contact Form, Gravity Form, WordPress Comment, WooCommerce와 같은 플러그인을 서포트함.
<관련 CVE정보>
현재(2018.11.13 9:23) 확인 안됨
PoC현재까지 확인 안됨
<탐지룰 존재유무>
벤더룰 : 현재 없음 (취약점 조사 진행한 회사(WordFence)에서 유료회원 대상으로 방화벽 룰 제공 중)
<대응방안>
WordPress는 해당 플러그인의 ‘사용중지’함. 플러그인을 최신 버전 1.4.3으로 업데이트 할 시 안전.
(https://wordpress.org/support/topic/important-update-to-1-4-3-immediately/)
<참고자료>
출처: https://wordpress.org/support/topic/important-update-to-1-4-3-immediately/
https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/
'Incident Report' 카테고리의 다른 글
| [2018.11.15] Recorded Future, 중국 해커그룹, 영국엔지니어 회사를 목표 공격에 대한 보고서 발표 (0) | 2019.03.12 |
|---|---|
| [2018.11.14] 나이지리아 ISP, Google 데이터 센터 트래픽 하이재킹 (0) | 2019.03.12 |
| [2018.11.12] 해커 그룹 "Inception" 1년전 MS office 취약점 사용 공격 (0) | 2019.03.08 |
| [2018.11.08] China Telecom 계속적으로 인터넷 트래픽을 고의로 잘못 다이렉트ㅎ (0) | 2019.03.08 |
| [2018.11.07] 파키스탄, 해킹으로 8000명 계좌의 돈 사라져 (0) | 2019.03.08 |