파일 업로드 매개변수 조작해 악의적 목적으로 이용 가능성 높아
에이아이스페라, 해당 취약점 CVE-2023-50164 악용 공격 심각...긴급 패치 권고
[보안뉴스 김영명 기자] 최근 아파치 스트럿츠 2(Apache Struts 2)에서 CVSS 3 기준으로 심각도가 9.8인 치명적인 취약점(CVE-2023-50164)이 발견돼 보안 패치를 권고했다. 이 취약점은 원격코드 실행(RCE : Remote Code Execution)을 허용, 공격자가 파일 업로드 매개변수를 조작해 임의의 파일 경로에 원격에서 실행 가능한 악성코드를 업로드할 수 있어 악의적인 목적으로 이용될 가능성이 있다.
▲.action 확장자명이 노출돼 원격 코드 실행이 가능한 사이트[자료=AI 스페라 CIP 블로그]
에이아이스페라(AI Spera)는 최근 아파치 스트럿츠 2 RCE 취약점에 노출된 웹 애플리케이션에 대해 분석하고 인터넷에 노출된 서버를 점검하는 방법에 대해 소개했다.
아파치 스트럿츠 2(Apache Struts 2)란 자바(JAVA) 엔터프라이즈급 웹 애플리케이션을 구축할 수 있도록 설계된 오픈소스 개발 프레임워크(Framework)다. 아파치 스트럿츠 2와 관련된 CVE-2023-50164 취약점으로 인해 공격자는 파일 업로드 매개변수를 조작해 경로 탐색에 악용할 수 있으며, 이를 통해 악성 파일을 업로드하고 원격코드 실행이 가능하다.
이 결함으로 웹 서버에 대해 무단 액세스가 허용돼 민감한 데이터의 조작 또는 탈취, 서비스 중단, 손상된 시스템 악용이 발생할 수 있다. 이러한 취약점이 악용될 수 있는 대상의 도메인 엔드포인트는 ‘/upload.action’으로 알려졌다. 아파치 스트럿츠 2 서버에 파일을 업로드하면 매개변수를 조작한 후 ‘../../.’와 같은 경로 탐색을 이용해 웹쉘을 업로드할 수 있다.
▲아파치 스트럿츠 2 플러그인 검색 결과, 원격 접속 실행이 가능한 사이트가 노출돼 있다[자료=AI 스페라 CIP 블로그]
에이아이스페라에서 운영하는 위협 인텔리전스 검색엔진(Criminal IP)의 Asset Search를 이용해 ‘Showcase’, ‘Struts2 Showcase’, ‘/struts/utils.js’, ‘Struts2 jQuery Plugin Showcase’의 검색 필터와 키워드로 아파치 스트럿츠 2 웹 애플리케이션을 사용 중인 사이트를 발견할 수 있다. 아파치 스트럿츠 2에서 제공하는 웹 애플리케이션 Showcase를 검색했을 때는 원격접속 실행이 가능한 사이트가 노출된 것이 확인됐다.
Criminal IP의 Element Analysis 기능에서 title: ‘Struts2 Showcase’ 쿼리를 사용해 인터넷에 노출된 아파치 스트럿츠 2의 웹 애플리케이션 Showcase를 사용하는 국가 통계를 볼 수 있다. 총 18개 국가가 노출된 아파치 스트럿츠 2 플러그인을 사용 중인 것으로 확인된다. 2023년 12월 21일을 기준으로 했을 때 미국이 486개로 가장 많이 나타났고, 일본이 220개, 중국이 204개로 그 뒤를 이었으며, 한국은 109개로 나타났다.
아파치 스트럿츠 2 프레임워크로 개발된 사이트는 기본적으로 ‘*.action’ 확장자 형태로 맵매핑돼 실행된다. 또한 이번 CVE-2023-50164 취약점의 엔드포인트는 ‘/upload.action’이다.
▲경로 탐색을 이용해 웹셀을 업로드하는 페이로드[자료=AI 스페라 CIP 블로그]
IT/보안 전문매체 블리핑컴퓨터에 의하면 아파치 스트럿츠 버전 2.0.0~2.5.32 및 버전 6.0.0~6.3.0.1이 해당 취약점의 영향을 받고 있는 것으로 나타났다.
에이아이스페라 관계자는 “현재 CVE-2023-50164 취약점이 발견된 이후 사이버 공격에서 빈번하게 악용되고 있어 전 세계 기업들과 사용자들이 중대한 보안 위협을 겪고 있다”며 “아파치 스트럿츠 2 사용자는 Criminal IP와 같은 위협 인텔리전스 검색엔진을 통해 원격 코드 실행 위협에 노출된 웹 애플리케이션을 사전에 탐지하고 즉시 패치해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
에이아이스페라, 해당 취약점 CVE-2023-50164 악용 공격 심각...긴급 패치 권고
[보안뉴스 김영명 기자] 최근 아파치 스트럿츠 2(Apache Struts 2)에서 CVSS 3 기준으로 심각도가 9.8인 치명적인 취약점(CVE-2023-50164)이 발견돼 보안 패치를 권고했다. 이 취약점은 원격코드 실행(RCE : Remote Code Execution)을 허용, 공격자가 파일 업로드 매개변수를 조작해 임의의 파일 경로에 원격에서 실행 가능한 악성코드를 업로드할 수 있어 악의적인 목적으로 이용될 가능성이 있다.
▲.action 확장자명이 노출돼 원격 코드 실행이 가능한 사이트[자료=AI 스페라 CIP 블로그]
에이아이스페라(AI Spera)는 최근 아파치 스트럿츠 2 RCE 취약점에 노출된 웹 애플리케이션에 대해 분석하고 인터넷에 노출된 서버를 점검하는 방법에 대해 소개했다.
아파치 스트럿츠 2(Apache Struts 2)란 자바(JAVA) 엔터프라이즈급 웹 애플리케이션을 구축할 수 있도록 설계된 오픈소스 개발 프레임워크(Framework)다. 아파치 스트럿츠 2와 관련된 CVE-2023-50164 취약점으로 인해 공격자는 파일 업로드 매개변수를 조작해 경로 탐색에 악용할 수 있으며, 이를 통해 악성 파일을 업로드하고 원격코드 실행이 가능하다.
이 결함으로 웹 서버에 대해 무단 액세스가 허용돼 민감한 데이터의 조작 또는 탈취, 서비스 중단, 손상된 시스템 악용이 발생할 수 있다. 이러한 취약점이 악용될 수 있는 대상의 도메인 엔드포인트는 ‘/upload.action’으로 알려졌다. 아파치 스트럿츠 2 서버에 파일을 업로드하면 매개변수를 조작한 후 ‘../../.’와 같은 경로 탐색을 이용해 웹쉘을 업로드할 수 있다.
▲아파치 스트럿츠 2 플러그인 검색 결과, 원격 접속 실행이 가능한 사이트가 노출돼 있다[자료=AI 스페라 CIP 블로그]
에이아이스페라에서 운영하는 위협 인텔리전스 검색엔진(Criminal IP)의 Asset Search를 이용해 ‘Showcase’, ‘Struts2 Showcase’, ‘/struts/utils.js’, ‘Struts2 jQuery Plugin Showcase’의 검색 필터와 키워드로 아파치 스트럿츠 2 웹 애플리케이션을 사용 중인 사이트를 발견할 수 있다. 아파치 스트럿츠 2에서 제공하는 웹 애플리케이션 Showcase를 검색했을 때는 원격접속 실행이 가능한 사이트가 노출된 것이 확인됐다.
Criminal IP의 Element Analysis 기능에서 title: ‘Struts2 Showcase’ 쿼리를 사용해 인터넷에 노출된 아파치 스트럿츠 2의 웹 애플리케이션 Showcase를 사용하는 국가 통계를 볼 수 있다. 총 18개 국가가 노출된 아파치 스트럿츠 2 플러그인을 사용 중인 것으로 확인된다. 2023년 12월 21일을 기준으로 했을 때 미국이 486개로 가장 많이 나타났고, 일본이 220개, 중국이 204개로 그 뒤를 이었으며, 한국은 109개로 나타났다.
아파치 스트럿츠 2 프레임워크로 개발된 사이트는 기본적으로 ‘*.action’ 확장자 형태로 맵매핑돼 실행된다. 또한 이번 CVE-2023-50164 취약점의 엔드포인트는 ‘/upload.action’이다.
▲경로 탐색을 이용해 웹셀을 업로드하는 페이로드[자료=AI 스페라 CIP 블로그]
IT/보안 전문매체 블리핑컴퓨터에 의하면 아파치 스트럿츠 버전 2.0.0~2.5.32 및 버전 6.0.0~6.3.0.1이 해당 취약점의 영향을 받고 있는 것으로 나타났다.
에이아이스페라 관계자는 “현재 CVE-2023-50164 취약점이 발견된 이후 사이버 공격에서 빈번하게 악용되고 있어 전 세계 기업들과 사용자들이 중대한 보안 위협을 겪고 있다”며 “아파치 스트럿츠 2 사용자는 Criminal IP와 같은 위협 인텔리전스 검색엔진을 통해 원격 코드 실행 위협에 노출된 웹 애플리케이션을 사전에 탐지하고 즉시 패치해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
