오픈소스 웹 서버인 아파치 톰캣...CVE-2020-1938 취약점 통해 정보 노출 가능
일부 조건 맞아 떨어지면 원격 코드 실행도 가능...정보 노출 공격은 난이도가 낮아
[보안뉴스 문가용 기자] 아파치 톰캣(Apache Tomcat)이라는 유명 웹 서버에서 취약점이 발견됐다. 뿐만 아니라 개념증명용 익스플로잇이 깃허브(GitHub)를 통해 공개되는 통에 조만간 실제 공격이 벌어질 가능성도 높아진 상태다. 취약한 톰캣 버전은 7.0, 8.5, 9.0인 것으로 알려져 있다.
[이미지 = iclickart]
문제의 취약점은 CVE-2020-1938로, 이미 2월 20일에 공개된 바 있다. 깃허브에 공개된 익스플로잇의 이름은 고스트캣(Ghostcat)이며, 서버로부터 정보를 추출할 수 있게 해준다. 성공률이 꽤나 높다고 한다. 이를 조금 더 응용할 경우 원격 코드 실행도 가능한 것으로 알려져 있다. 사용자의 개입을 최소화 시킨 채 공격을 실시할 수 있어 공격자들이 꽤나 좋아할 만하다는 평가도 있다.
아파치 톰캣은 오픈소스 웹 서버로 여러 가지 자바스크립트 기반 기술들을 지원한다. CVE-2020-1938 역시 이러한 자바스크립트 기술 중 하나인 아파치 제이서브 프로토콜(Apache JServ Protocol, AJP) 인터페이스에서 발견됐다. AJP는 톰캣 서블릿 컨테이너가 웹 애플리케이션들과 소통할 수 있도록 다리를 놔준다.
문제는 AJP가 굉장히 높은 신뢰를 받고 있다는 것이다. 그렇기 때문에 신뢰할 수 없는 네트워크에 그대로 노출시키는 건 위험할 수 있다. AJP가 그대로 노출될 경우 공격자들에게 애플리케이션 서버로 가는 길을 열어주는 것이나 다름이 없다. 애초에 인터넷에 연결되지 않은 채, 내부적으로만 활용되도록 만들어진 기능이다. 그런데 윈도우 10용 톰캣의 경우, 디폴트 그대로 놔뒀을 때 AJP 포트 8009번이 인터넷에 노출된다는 결점을 가지고 있다.
깃허브를 통해 공개된 개념증명 코드는 파이선으로 작성되어 있으며 특정 IP 주소로 AJP 요청을 만들어 전송할 수 있게 해준다. 파일 경로나 이름을 요청할 수 있고, 취약한 서버는 이러한 민감한 정보를 공격자에게 되돌려준다. 즉 톰캣 웹 루트로부터 임의의 파일을 추출할 수 있게 되는 것.
그런데 이 취약점을 가지고 있는 톰캣 서버가 파일 업로드까지 허용하는 상태라면 어떨까? 물론 이는 디폴트 상 활성화 되지 않은 기능이지만, 사용자가 옵션 조정으로 열어둘 수 있다. 그런 상태라면 공격자가 임의의 코드를 담은 파일을 업로드 해 실행시킬 수 있게 된다. 원격 코드 실행 공격도 가능하다는 것.
그러나 원격 코드 실행까지 이어지려면 파일 업로드를 통해 실행시킬 수 있는 웹 애플리케이션을 취약한 톰캣 서버에서 먼저 찾아내야 한다. 서버에 이런 애플리케이션들을 공격자가 입맛대로 설치하는 건 불가능하기 때문이다. 또한 서버 설정을 ‘파일 업로드 가능’ 상태로 마음대로 바꾸는 것도 불가능하다. 또한 공개된 익스플로잇 코드에도 원격 코드 실행과 관련된 부분은 빠져 있다.
위 취약점은 현재 패치가 된 상황이다. 아파치 톰캣 사용자들이 8.5.51로 버전을 업그레이드 할 경우, 정보 노출이나 원격 코드 실행 취약점을 방지할 수 있게 된다. 구 버전을 유지해야만 하는 상황이라면 AJP 인터페이스를 사용하지 않는 편이 안전하다. 꼭 사용해야만 한다면 신뢰할 수 있는 네트워크에만 연결을 시키는 것이 중요하다. AJP 관리만 잘 해도 어느 정도 안전을 보장할 수 있다고 보안 업체 플래시포인트(Flashpoint)는 자사 블로그를 통해 설명했다.
깃허브의 익스플로잇을 분석한 플래시포인트는 “취약점 공략 난이도가 매우 낮으므로 톰캣을 사용하는 조직들은 반드시 패치를 적용하거나 AJP 비활성화를 해야 한다”고 경고했다. 실제 공격이 발생할 가능성을 꽤나 높게 보고 있다는 설명도 덧붙었다.
3줄 요약
1. 얼마 전 발견된 아파치 톰캣의 취약점에 대한 익스플로잇 코드 등장.
2. 공격 난이도 낮고 익스플로잇도 공개된 마당이라 실제 공격 발생할 가능성 높음.
3. 7.0, 8.5, 9.0 버전 취약하고 8.5.51 버전 패치되어 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
일부 조건 맞아 떨어지면 원격 코드 실행도 가능...정보 노출 공격은 난이도가 낮아
[보안뉴스 문가용 기자] 아파치 톰캣(Apache Tomcat)이라는 유명 웹 서버에서 취약점이 발견됐다. 뿐만 아니라 개념증명용 익스플로잇이 깃허브(GitHub)를 통해 공개되는 통에 조만간 실제 공격이 벌어질 가능성도 높아진 상태다. 취약한 톰캣 버전은 7.0, 8.5, 9.0인 것으로 알려져 있다.
[이미지 = iclickart]
문제의 취약점은 CVE-2020-1938로, 이미 2월 20일에 공개된 바 있다. 깃허브에 공개된 익스플로잇의 이름은 고스트캣(Ghostcat)이며, 서버로부터 정보를 추출할 수 있게 해준다. 성공률이 꽤나 높다고 한다. 이를 조금 더 응용할 경우 원격 코드 실행도 가능한 것으로 알려져 있다. 사용자의 개입을 최소화 시킨 채 공격을 실시할 수 있어 공격자들이 꽤나 좋아할 만하다는 평가도 있다.
아파치 톰캣은 오픈소스 웹 서버로 여러 가지 자바스크립트 기반 기술들을 지원한다. CVE-2020-1938 역시 이러한 자바스크립트 기술 중 하나인 아파치 제이서브 프로토콜(Apache JServ Protocol, AJP) 인터페이스에서 발견됐다. AJP는 톰캣 서블릿 컨테이너가 웹 애플리케이션들과 소통할 수 있도록 다리를 놔준다.
문제는 AJP가 굉장히 높은 신뢰를 받고 있다는 것이다. 그렇기 때문에 신뢰할 수 없는 네트워크에 그대로 노출시키는 건 위험할 수 있다. AJP가 그대로 노출될 경우 공격자들에게 애플리케이션 서버로 가는 길을 열어주는 것이나 다름이 없다. 애초에 인터넷에 연결되지 않은 채, 내부적으로만 활용되도록 만들어진 기능이다. 그런데 윈도우 10용 톰캣의 경우, 디폴트 그대로 놔뒀을 때 AJP 포트 8009번이 인터넷에 노출된다는 결점을 가지고 있다.
깃허브를 통해 공개된 개념증명 코드는 파이선으로 작성되어 있으며 특정 IP 주소로 AJP 요청을 만들어 전송할 수 있게 해준다. 파일 경로나 이름을 요청할 수 있고, 취약한 서버는 이러한 민감한 정보를 공격자에게 되돌려준다. 즉 톰캣 웹 루트로부터 임의의 파일을 추출할 수 있게 되는 것.
그런데 이 취약점을 가지고 있는 톰캣 서버가 파일 업로드까지 허용하는 상태라면 어떨까? 물론 이는 디폴트 상 활성화 되지 않은 기능이지만, 사용자가 옵션 조정으로 열어둘 수 있다. 그런 상태라면 공격자가 임의의 코드를 담은 파일을 업로드 해 실행시킬 수 있게 된다. 원격 코드 실행 공격도 가능하다는 것.
그러나 원격 코드 실행까지 이어지려면 파일 업로드를 통해 실행시킬 수 있는 웹 애플리케이션을 취약한 톰캣 서버에서 먼저 찾아내야 한다. 서버에 이런 애플리케이션들을 공격자가 입맛대로 설치하는 건 불가능하기 때문이다. 또한 서버 설정을 ‘파일 업로드 가능’ 상태로 마음대로 바꾸는 것도 불가능하다. 또한 공개된 익스플로잇 코드에도 원격 코드 실행과 관련된 부분은 빠져 있다.
위 취약점은 현재 패치가 된 상황이다. 아파치 톰캣 사용자들이 8.5.51로 버전을 업그레이드 할 경우, 정보 노출이나 원격 코드 실행 취약점을 방지할 수 있게 된다. 구 버전을 유지해야만 하는 상황이라면 AJP 인터페이스를 사용하지 않는 편이 안전하다. 꼭 사용해야만 한다면 신뢰할 수 있는 네트워크에만 연결을 시키는 것이 중요하다. AJP 관리만 잘 해도 어느 정도 안전을 보장할 수 있다고 보안 업체 플래시포인트(Flashpoint)는 자사 블로그를 통해 설명했다.
깃허브의 익스플로잇을 분석한 플래시포인트는 “취약점 공략 난이도가 매우 낮으므로 톰캣을 사용하는 조직들은 반드시 패치를 적용하거나 AJP 비활성화를 해야 한다”고 경고했다. 실제 공격이 발생할 가능성을 꽤나 높게 보고 있다는 설명도 덧붙었다.
3줄 요약
1. 얼마 전 발견된 아파치 톰캣의 취약점에 대한 익스플로잇 코드 등장.
2. 공격 난이도 낮고 익스플로잇도 공개된 마당이라 실제 공격 발생할 가능성 높음.
3. 7.0, 8.5, 9.0 버전 취약하고 8.5.51 버전 패치되어 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
