( 1 ) 취약점 정보
해당 취약점은 Adobe 사가 2018년 09월 11일에 보안 게시판 APSB18-33 명명식으로 게시되었으며 인증되지 않은 파일 업로드가 가능한 취약점임.
( 2 ) 취약점 분석
ColdFusion 은 Adobe사에서 만든 애플리케이션(웹 서비스) 개발을 위한 RAD(Rapid Application Development Tool, 고속 응용 프로그램 개발 도구) 플랫폼으로 제품군 안에 WYSIWVG 편집기도 포함됨.
기존에는 WYSIWYG 편집기 FCKeditor 를 패키지로 제공되었다가 CKEditor 로 교체되었는데 인증되지 않은 파일 업로드 취약점이 발견됨.
.exe 및 .php 와 같은 잠재적으로 위험한 파일 업로드되는 것을 방지하였으나 .jsp 파일은 허용됨.
또한, 공격자는 path 변수를 통해 디렉토리 수정도 가능하여 업로드된 파일을 저장할 디렉토리를 변경할 수 있음.
즉, .jsp 파일 확장자명이 차단 목록에 있더라도 공격자는 시스템을 손상시킬 수 잇는 다른 스크립트 또는 실행 파일을 시스템의 어딘가에 배치할 수 있음.
취약한 버전
ColdFusion 2018 Release -> 7월 12일 출시(2018.0.0.310739)
ColdFusion 2016 Release -> 업데이트 6 및 이전 버전
Coldfusion 11 -> 업데이터 14 및 이전 버전
최근 중국 APT 그룹에서 China Chopper WebShell 을 이용하여 취약한 ColdFusion 서버를 손상시키는 활동을 감지함. 특히 제한적이지 않으며 인증이 필요하지 않은 upload.cfm 페이지을 악용하여 업로드를 시도하는 것으로 확인됨.
< upload.cfm 페이지에 업로드 요청 화면 >
( 3 ) 공격 탐지 방법
upload.cfm 페이지에 업로드를 탐지함.
alert tcp any any -> any any (msg:"KOROMOON_ColdFusion_upload.cfm_Page_Access"; flow:to_server,established; content:"POST"; http_method; content:"upload.cfm?action=upload"; nocase; http_uri;)
( 4 ) 취약점 방어
최신 버전으로 업데이트함.
ColdFusion 2018 Release -> 업데이트 1
ColdFusion 2016 Release -> 업데이트 7
Coldfusion 11 -> 업데이터 15
ColdFusion 관리자 패널에서 업데이트 관련 설정을 변경함.
서버 업데이트 > 업데이트 > 설정에서 업데이트 주기를 기본값 10일에서 1일로 변경함.
그리고 업데이트 통보를 확인할 수 있도록 관리자 이메일 정보를 설정함.
추가적으로 모든 ColdFusion Administrator 액세스에 승인된 IP 주소만 접근 가능하도록 설정함.
( 5 ) Reference
https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html
https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/
https://securityaffairs.co/wordpress/77901/hacking/cve-2018-15961-coldfusion-flaw.html
============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.
댓글 없음:
댓글 쓰기