Drupalgeddon 2와 Dirty COW 취약점으로 웹 서버 해킹

Drupalgeddon 2(CVE-2018-7600)

최근 드루팔겟돈 2와 더티 카우 취약점을 이용해 Web server를 해킹하려는 시도가 활발하다. 드루팔겟돈 2는 Drupal의 원격코드 실행 취약점으로, 4월에 발견되어 패치가 발표됐다. 더티 카우는 리눅스의 권한상승 취약점으로 역시 패치가 발표된 것이다.

해커는 패치 안된 드루팔 사이트를 검색하여 표적으로 삼는다. 먼저 드루팔겟돈 2를 이용해 임의의 코드를 실행하여 사이트를 탈취한다. 그러나 여전히 권한은 제한적이므로, 사이트를 호스팅하고 있는 서버로 침투할 수는 없다. 따라서 다음 단계로 더티 카우를 이용한다.

더티 카우는 제한된 사용자 계정에서 루트(root) 혹은 관리자 권한으로 코드를 실행할 수 있게 하므로, 서버까지 완전히 탈취하게 된다.

Drupal, WordPress(워드프레스)는 널리 쓰이는 CMS(Contents Management System)로, 많은 사이트들이 이를 이용해 구축됐다. CMS에서도 적지 않은 취약점이 발견되고 있고, 해커들이 많이 노리고 있는데 반해 사이트 운영자의 패치 적용은 잘 안되고 있다. 자신의 사이트는 물론 호스팅 서버, 같은 서버에 호스팅된 다른 사이트까지 위험에 빠트릴 수 있으므로 주의해야 겠다.

Dirty COW(CVE-2016-5195)

더티 카우는 리눅스 커널에 존재하는 로컬 권한상승(local privilege escalation) 취약점이다. 발견되어 패치된 것은 2016년이지만, 2007년부터 있던 것으로 오래된 버그이다. 핵심부에 있는 것이므로, 리눅스를 기반으로 한 안드로이드 운영체제에도 존재했다.

발견 당시에 이미 exploit code가 실제로 활용되고 있었을 정도로 활발히 이용됐고, 2년이 지난 지금도 활용되고 있다.

ZNIU 악성코드

더티 카우가 알려진지 1년 후에, 안드로이드에서 악용한 악성코드가 발견됐다. ZNIU라고 하는 것으로 전세계에서 5천여 명의 피해자가 발생했다.

더티 카우는 로컬 취약점이므로, 링크만 열어도 감염되는 Drive-by download(드라이브 바이 다운로드) 방식으로는 악용할 수 없다. 따라서 사용자를 속여 exploit code를 포함한 악성 앱을 설치하도록 유도했다. Google Play가 아닌 비공식적인 사이트 등을 통해, 포르노나 게임으로 가장하여 유포됐다.

이 악성코드는 해커가 기기를 장악하기 위한 백도어(Backdoor)를 설치하는 데 이용됐다. 중국의 통신사에 가입한 피해자에게는 유료 문자를 통해 직접 금전적 피해를 입혔다. 해커가 운영하는 유령 회사에 유료 문자를 보내는 식으로 했고, 피해자가 눈치채지 못하도록 문자는 바로 삭제됐다.


관련 자료

참고 자료
  1. Hackers use Drupalgeddon 2 and Dirty COW exploits to take over web servers
  2. First Android Malware Found Exploiting Dirty COW Linux Flaw to Gain Root Privileges
  3. Dirty COW — Critical Linux Kernel Flaw Being Exploited in the Wild 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다