WordPress Easy WP SMTP 플러그인 1.4.2 이하 제로데이 취약점

( 1 ) 취약점 정보

현재 WordPress Easy WP SMTP 플러그인 1.4.2 이하 제로데이 취약점을 악용하여 관리자 계정의 비밀번호를 재설정하고 있는 것으로 조사됨.

WordPress Easy WP SMTP 플러그인은 50만개 이상의 사이트에 설치되어 있지만 이번 주 초에 보안 패치가 출시되었음에도 아직 많은 사이트가 패치를 적용하지 않음.

( 2 ) 취약점 분석

WordPress Easy WP SMTP 플러그인을 사용하면 SMTP 서버를 통해 보내는 모든 이메일을 구성하고 보낼 수 있으므로 수신자의 스팸 메일 폴더로 들어가는 것을 방지할 수 있음.

< easy-wp-smtp 디렉토리 접근 화면 >

해당 제로데이 취약점은 WordPress Easy WP SMTP 플러그인 1.4.2 이하 버전에 영향을 미치며 사이트에서 보낸 모든 이메일에 대한 디버그 로그를 생성한 다음 설치 폴더(/wp-content/plugins/easy-wp-smtp/)에 저장하는 기능이 포함되어 있음.

로그는 임의의 이름을 가진 텍스트 파일임. (예 : 5fcdb91308506_debug_log.txt)

플러그인 설치 폴더에는 index.html 파일이 없으므로 디렉토리 목록이 활성화된 서버에서 해커가 로그를 찾아서 볼 수 있음. (즉, 디렉토리 리스팅 취약점이 존재해야 함)

< REST API 를 악용한 관리자 계정명 찾기 >

< 관리자 계정 재설정 요청 화면 >

공격자는 이 취약점을 악용하여 로그에서 관리자 계정을 식별하고 관리자 계정이 암호를 재설정하려고 시도함.

여기서 관리자 계정명을 알고 있어야 하며 다른 공격을 통해 찾음. (REST API 취약점, 사용자 이름 열거 스캔 등)

< WordPress Easy WP SMTP 디버그 로그에서 관리자 계정 정보 찾기 >

비밀번호 재설정 절차는 비밀번호 재설정 링크가 포함된 이메일을 관리자 계정으로 전송하며 이 이메일은 WordPress Easy WP SMTP 디버그 로그에 보고되며 기록됨.

< 관리자 계정 재설정 성공 화면 >

공격자는 암호 재설정 후 디버그 로그에 액세스하여 재설정 링크를 검색하고 사이트의 관리자 계정을 장악함.

( 3 ) 취약점 방어

WordPress Easy WP SMTP 플러그인 1.4.4 버전으로 패치 업데이트함.

그리고 아래와 같이 Snort 패턴을 등록하여 공격 탐지 및 차단을 진행함.

alert tcp any any -> any any (msg:"KOROMOON_WordPress Easy WP SMTP Directory Deteced"; flow:to_server,established; uricontent:"/wp-content/plugins/easy-wp-smtp/"; content:"<title>Index of /";)

참고 사이트 :

https://blog.nintechnet.com/wordpress-easy-wp-smtp-plugin-fixed-zero-day-vulnerability/

https://securityaffairs.co/wordpress/112218/hacking/easy-wp-smtp-wordpress-plugin-flaw.html?utm_source=feedly&utm_medium=rss&utm_campaign=easy-wp-smtp-wordpress-plugin-flaw

============================================================