온라인 쇼핑몰을 쉽게 구축하는 프로그램으로 잘 알려진 프레스타샵(PrestaShop)의 페이스북 모듈인 pkfacebook에서 심각한 취약점이 발견됐다.
해커들이 이 취약점을 악용해 SQL 인젝션을 통해 전자상거래 웹사이트에 카드 스키머를 설치하고 신용카드 정보를 탈취하는 데 악용하고 있다.
CVE-2024-36680으로 알려진 이 취약점은 pkfacebook 모듈의 facebookConnect.php Ajax 스크립트에서 발생한다. 이 취약점은 간단한 HTTP 요청으로 SQL 인젝션을 수행할 수 있게 하여, 해커들이 데이터베이스를 조작하고 민감한 정보를 접근할 수 있도록 한다. 또한, 이를 통해 웹 스키머를 배포해 사용자들의 신용카드 정보를 대량으로 탈취할 수 있다.
지난 3월 30일, 터치웹 보안분석가들이 이 취약점을 처음 발견했다. Promokit은 이 문제가 오래 전에 해결되었다고 주장했지만, 이를 입증할 증거는 제공되지 않았다. Promokit의 웹사이트에 나열된 모듈의 최신 버전은 1.0.0인 반면, National Vulnerability Database(NVD)는 1.0.1 버전까지 모두 취약한 것으로 밝히고 있다.
프레스타의 보안 그룹인 Friends-of-Presta는 CVE-2024-36680에 대한 개념 증명 익스플로잇을 공개하고, 해당 취약점이 실제로 악용되고 있다고 경고했다. 이 익스플로잇은 신용카드 데이터를 대량으로 탈취하기 위해 웹 스키머를 배포하는 데 사용되고 있다.
이러한 취약점의 결과는 매우 심각하다. 해커들은 관리자 권한을 획득하고, 데이터베이스 내용을 수정하거나 추출하며, SMTP 설정을 재작성하여 이메일을 탈취할 수 있다. 이는 사용자 데이터의 손상뿐만 아니라 피해를 입은 기업의 재정적 손실과 평판 손상으로 이어질 수 있다.
이 취약점과 관련된 위험을 줄이기 위해 여러 보안 전문가들은 다음과 같은 조치를 권장하고 있다:
-모듈 업그레이드: pkfacebook 모듈을 최신 버전으로 업그레이드해 다중 쿼리 실행을 비활성화한다. 그러나 이 조치는 SQL 인젝션으로부터 완전히 보호하지는 않는다.
-pSQL 함수 사용: pSQL 함수를 사용하여 저장된 XSS 취약점을 방지한다. 이 함수는 strip_tags 메커니즘을 포함하여 추가적인 보안을 제공한다.
-데이터베이스 접두사 변경: 기본 "ps_" 접두사를 더 길고 임의의 접두사로 변경하여 해커가 쉽게 추측하지 못하게 한다. 그러나 이는 고도로 숙련된 공격자에게는 완벽한 방어책이 되지 못한다.
-OWASP 942 규칙 활성화: 웹 애플리케이션 방화벽(WAF)에서 OWASP 942 규칙을 활성화하여 추가적인 보안 계층을 제공한다. 그러나 이 조치는 백오피스에 문제를 일으킬 수 있으므로 사전 설정이 필요할 수 있다.
Friends-of-Presta는 이 취약점을 강조하고 프레스타샵 커뮤니티에 대한 지침을 제공하는 데 적극적으로 나서고 있다. 그러나 Promokit은 최신 버전을 확인하기 위한 협조를 거부하고 있어 투명성이 부족한 상황이다. 이는 영향을 받은 웹사이트의 보안을 확보하는 데 어려움을 초래한다.
프레스타샵의 pkfacebook 모듈에서 발견된 CVE-2024-36680 취약점의 악용 사례는 전자상거래 플랫폼의 중대한 보안 문제를 야기할 수 있다. 해커들이 이러한 취약점을 이용해 신용카드 정보를 탈취하는 사례가 늘어남에 따라, 모듈 개발자와 온라인 상점 운영자들은 보안 업데이트를 바로 적용하고 보안 전문가와 긴밀히 협력해 정보유출에 대비해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★