해커들이 워드프레스 제로데이 결함을 적극적으로 악용합니다.
워드프레스 보안 회사인 워드펜스는 공격자들이 현재 악용하고 있는 제로데이 워드프레스 취약점에 대해 경고했습니다.
이 버그는 BackupBuddy라는 워드프레스 플러그인에 있습니다. 백업버디는 사용자가 대시보드 내에서 테마 파일, 페이지, 글, 위젯, 사용자, 미디어 파일 등 전체 워드프레스 설치를 백업할 수 있는 플러그인입니다.
워드펜스에 따르면 이 취약점은 백업의 로컬 복사본을 저장하도록 설계된 로컬 디렉토리 복사 기능에 뿌리를 두고 있다고 합니다. 이 취약점은 공격자가 임의의 파일을 서버에 다운로드할 수 있도록 허용하는 안전하지 않은 구현의 산물입니다.
워드펜스는 "이 취약점으로 인해 인증되지 않은 사용자가 영향을 받는 사이트에서 민감한 정보를 포함할 수 있는 임의의 파일을 다운로드할 수 있습니다."라고 설명했습니다.
BackupBuddy에 영향을 미치는 버그는 CVE-3022-31474로 추적되며 심각도는 7.5입니다. 이 버그는 버전 8.5.8.0~8.7.4.1에 영향을 미치지만, 2022년 9월 2일에 출시된 버전 8.7에서 수정되었습니다. 5에서 수정되었으며, 2022년 9월 2일에 릴리스되었습니다.
워드펜스는 CVE-2022-31474의 활발한 익스플로잇이 2022년 8월 26일에 시작되었다고 밝혔습니다. 그 이후로 워드펜스는 약 500만 건의 공격을 차단할 수 있었으며, 대부분의 침입은 /etc/passwd, /wp-config.php, .my.cnf, .accesshash와 같은 파일을 읽으려는 시도였습니다.
공격자의 추가 악용을 방지하기 위해 취약점에 대한 자세한 내용은 비밀로 유지되었습니다.
"이 취약점을 통해 공격자는 워드프레스 설치에서 읽을 수 있는 서버의 모든 파일 내용을 볼 수 있습니다. 여기에는 워드프레스 wp-config.php 파일이 포함될 수 있으며, 서버 설정에 따라서는 /etc/passwd와 같은 민감한 파일도 포함될 수 있습니다."라고 플러그인 개발사인 iThemes는 말합니다.
백업버디 사용자는 최신 버전으로 업그레이드하여 버그를 수정하고 공격자의 침해를 방지하는 것이 좋습니다. 이미 감염된 사용자는 데이터베이스 비밀번호를 재설정하고, 워드프레스 솔트를 변경하고, wp-config.php에 저장된 API 키를 교체해야 합니다.
이 글의 출처는 TheHackerNews의 기사입니다.