2024-07-24 01:55 (수)
익스프레스 엔진 최신버전, SQL인젝션 취약점 발견!
상태바
익스프레스 엔진 최신버전, SQL인젝션 취약점 발견!
  • 길민권
  • 승인 2012.03.16 12:26
이 기사를 공유합니다

SQL Injection 공격으로 관리자 권한 계정 생성이 가능!
국내에서 가장 많이 사용되고 있는 공개 웹 게시판인 익스프레스 엔진(XE) 1.5.10 최신버전에서 취약점이 발견되어 주의가 요구되고 있다.
 
조정현 소프트포럼 보안기술분석팀 연구원은 "국내에서 가장 많이 사용되고 있는 게시판 중 하나인 익스프레스 엔진(XE)의 최신 버전(1.5.10)에서 SQL Injection 취약점을 발견했다"고 밝혔다.
 
해당 취약점은 회원가입 기능에서 SQL Injection이 가능해 관리자 권한의 계정 생성이 가능한 취약점이다.
 
공격자는 이런 취약점을 악용해 서버에 SQL Injection 공격을 시도, 관리자 계정 생성 후 관리자 메뉴의 레이아웃 기능에 PHP코드를 삽입 & 실행해 서버에 웹쉘(Webshell)까지 생성할 수 있게 된다.
 
아래는 취약점에 대한 자세한 설명이다.
 
회원가입 폼 전송시 소스코드에서 사용자가 입력하는 값들을 모두 체크하지 않았다. 이후 싱글쿼터 ( ' ) 입력으로Syntax 에러가 나는 것을 확인할 수 있다.

 
회원 가입시 쿼리는 아래와 같다. 이중 is_admin 컬럼이 관리자인지 판별하기 위한 컬럼이다. 이 컬럼에 'N'이 아니라 'Y' 값을 인젝션 하게되면 관리자 권한으로 계정이생성된다.

 
이후 관리자 페이지의 레이아웃 기능을 이용해 웹쉘(Webshell) 생성이 가능하게 된다.


 
소프트포럼 보안기술분석팀에서는 해당 취약점에 대한 보고가 익스프레스 엔진 개발팀에 전달되어 익스프레스 엔진홈페이지(www.xpressengine.com)에서 보안패치가 가능하다고 밝혔다.

한편 위 취약점은 이미 패치가 발표된 취약점이며, 15일 데일리시큐에서 보도한 "제로보드 XE, 시스템 권한 획득 취약점 발견!"이라는 기사를 통해 제로보드 측에서 15일 저녁 7시경에 다시 최신버전을 발표한 상황이다. 이용자들은 15일 패치된 최신 버전으로 업그레이드 해야 한다.  
[데일리시큐=길민권 기자]

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★