CVE-2019-16759
vBulletin 5.x ~ 5.5.4를 사용하면 ajax / render / widget_php 경로 문자열 요청에서 widgetConfig [code] 매개 변수를 통해 원격 명령을 실행할 수 있습니다.
최근까지 탐지되고 있는 공격 유형입니다.
탐지 악성 쿼리
/cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n, /cgi-bin/php5?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
URI 내 주요 정보
- auto_prepend_file : php파일 실행 전 실행파일 지정
- allow_url_include : 해당 옵션을 On으로 설정하면 include( ), require( ) 계열의 함수 사용 시 외부 사이트의 파일을 호출
*PHP Injection과 관련 있음
- open_basedir : 해당옵션에 특정 디렉토리를 설정하면, 지정된 디렉토리에서만 파일에 접근할 수 있음
- safe_mode : 이 값을 off로 설정하면 시스템 중요파일(/etc/passwd)접근을 제한할 수 없음
- disable_functions : PHP 사용 시 특정함수 사용제한하는 방법
유사한 악성 행위
- IRC Backdoor, Dalloz(달로즈) 악성코드 행위와 유사- IRC Backdoor –리눅스 악성코드, php취약점 이용하여 다른 악성코드 다운로드
- DDalloz – 리눅스 악성코드, 시스템 감염과 가상화폐 채굴
결론
- 방화벽에서 출발지 IP 차단
- 공격자는 IP 주소를 바꿔가며 공격을 수행합니다.
보안 장비에서 악성 쿼리가 탐지가 되면 능동적으로 IP 접근제어 또는 쿼리 기반으로 차단
- 공격자는 IP 주소를 바꿔가며 공격을 수행합니다.
- URL 패턴으로 차단
- WAF, IPS와 같은 보안 장비에서 signature 탐지/차단 확인
- vBulletin 소프트웨어를 사용하는 환경이 있다면 CVE-2019-16759 취약점 패치
- 취약점 정보 및 패치
https://knvd.krcert.or.kr/elkDetail.do?CVEID=CVE-2019-16759&jvn=&CVEID=CNNVD-201909-1101&dilen=60c19772dd82393915b19e15
보안 취약점 정보 포털
Home > 취약점 정보 공유 > 국내 취약점 취약점 세부정보 : 취약점 세부내용 jvn : cnnvd : ※주의 : 한글 세부 내용은 구글 번역기를 통한 한글 번역으로 참고만 가능합니다.
knvd.krcert.or.kr
주의 사항
애플리케이션 버전 패치의 경우
업그레이드 버전되는 버전과 현재 운영중인 애플리케이션의 호환성 및 업그레이드 시 정상 동작 여부를 확인이 꼭 필요합니다.
업그레이드 버전과 구버전에서 개발된 애플리케이션의 호환이 안되어 서비스 영향을 주는 경우가 다수 있음
'IT 보안' 카테고리의 다른 글
| PHP 취약점 공격 / CVE-2017-9841, CVE-2019-16759 분석 자료 (0) | 2024.09.23 |
|---|---|
| 악성코드 고급 분석의 기초 명령어 설명 (0) | 2024.09.23 |
| Fortinet SSL VPN 취약점 (CVE-2018-13379) 분석자료 (0) | 2024.09.23 |
| ThinkPHP 원격코드 실행 취약점 (CVE-2018-20062) (0) | 2024.09.23 |
| DNS 터널링(Tunneling) (0) | 2024.09.23 |
