원격코드 실행 보안취약점 발견...홈페이지 변조사고 발생 위험


국내 PHP 기반 공개 웹 게시판 제로보드4의 원격코드 실행 보안 취약점에 대한 패치가 발표됐다. 낮은 버전 및 패치파일을 적용하지 않은 제로보드 사용으로 인해 홈페이지 변조 사고가 발생할 수 있으므로 제로보드를 사용하는 사용자들은 주의 및 패치를 반드시 해야 한다.

취약점이 발견된 버전은 ‘제로보드 4.1 pl8’ 이전 버전과 제로보드 4.1 pl8버전 중 올해 11월 1일 이전 버전에서 발견됐다.

한국정보보호진흥원 관계자는 “제로보드에서 공격자가 전달한 입력값을 검사하지 않아 임의의 쉘코드를 실행시킬 수 있는 값이 PHP 파일에 인젝션되는 취약점이 존재한다”며 “제로보드 제작자는 공격자가 전달한 임의의 쉘코드를 PHP파일에 기록하지 않는 방식으로 보안패치를 제작해 배포하고 있다”고 설명했다.

제로보드 홈페이지 공지사항(www.zeroboard.com/15955761)란에서도 “갈릴레오님의 도움으로 취약점 공격법을 알게 됐다”며 “공격법은 lib.php에 $REMOTE_ADDR이라는 변수의 값을 data/now_connect.php 파일에 기록하는 것을 이용하여 $REMOTE_ADDR 변수에 대한 eval script코드를 삽입하여 원하는 command를 실행하는 것으로 파악했다. 일단 제로보드4를 기본으로 사용하시는 분은 첨부한 lib.php 파일을 덮어쓰시면 된다”고 설명하고 있다. 

그리고 덧붙여 다음과 같이 수정해줄 것을 권고했다.
1. lib.php 파일을 에디터 등으로 연다
2. $REMOTE_ADDR 이라는 글자를 모두 $_SERVER['REMOTE_ADDR'] 로 변경
3. 이 때 global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이라는 부분에서는 global $HTTP_SESSION_VARS, $member_table, $member, $connect; 로 변경을 한다.

운영자는 “제로보드4의 경우 매우 오래전에 개발을 했고 업그레이드가 원활치 않아 다양한 부분에서 보안취약점이 존재하고 있다”며 “제로보드4를 업그레이드 할 수 없어 제로보드XE라는 새로운 버전을 개발했고 최대한 빨리 안정성을 확보해 데이터 이전을 완벽하게 할 수 있도록 하겠다. 그래서 보안 취약점으로부터 유저들을 보호할 수 있도록 조치하겠다”고 밝혔다.

KISA 관계자는 “제로보드를 처음 사용하는 경우 공식사이트(www.zeroboard.com)에는 취약점이 보완된 4.1 pl8 설치 파일을 다운로드 받아 설치하면 된다”며 “또 참고사이트를 참고해 취약한 파일(lib.php)을 수정 사용하거나 다운받아서 교체해 사용해야 한다”고 강조했다.

<참고사이트>
-보완된 4.1 pl8 설치 파일: www.zeroboard.com/zb4_download/803874
-수정사용법: www.zeroboard.com/zb4_download/15955761
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>