2019-10-14 19:31 (월)
vBulletin 제로데이 취약점 발견돼…사용자 정보 대량으로 훔쳐낼 수 있어
상태바
vBulletin 제로데이 취약점 발견돼…사용자 정보 대량으로 훔쳐낼 수 있어
  • 페소아 기자
  • 승인 2019.10.08 17:28
이 기사를 공유합니다

해외 보안 연구원이 가장 인기있는 인터넷 포럼 소프트웨어인 vBulletin에서 제로데이를 발견해 공개했다.

보안 전문가들은 현재 이 패치 되지 않은 취약점에 관한 세부 내용 공개가 사용자 정보를 대량으로 훔쳐내는 포럼 해킹의 물결을 만들어낼 수도 있다고 우려하고 있다.

공개된 코드 분석에 따르면, 제로데이를 이용하여 공격자는 vBulletin이 설치되어 돌아가고 있는 서버에서 쉘 명령을 실행할 수 있다. 이때 공격에서 공격자는 타겟 포럼의 계정이 필요없다. 이는 보안전문가들이 웹 기반 플랫폼에 영향을 줄 수 있는 최악의 보안 결함 중 하나인 인포섹 언어로는 “Pre-authentication remote code execution(인증전 원격 코드 실행)” 취약점이라고 부르는 것이다.

이 제로데이에 대한 자세한 내용은 공개 메일링리스트인 seclists에 개재되었다.(클릭)

연구원이 개인적으로 보고한 취약점을 공급업체들이 해결하지 못해 보안연구원이 패치되지 않은 상태의 보안 결함에 대한 세부 정보를 공개하는 것으 드문 일이 아니다. 그러나 이 메일링리스트가 작성될 당시 익명의 연구원이 vBulletin 팀에 취약점을 보고 했는지, vBulletin팀이 문제를 적시에 해결하지 못해 연구자가 공개를 결정했는지는 불분명하다.

vBulletin 포럼 소프트웨어 회사인 MH Sub I, LLC는 이에 대한 의견을 내놓지 않았다. 물론 이것이 익명의 연구원이 의도적으로 방해행위를 하여 회사의 평판을 해치고 고객들을 위험에 빠뜨리기 위해 제로데이를 공개한 것일 수도 있다. 연구자는 자신의 이메일을 공개하지 않고 제로데이를 공개했기에 현재 연구자와 연락이 불가능하다.

vBulletin은 상용제품임에도 불구하고phpBB, XenForo, Simple Machines Forum, MyBB 같은 오픈소스 솔루션보다 시장점유율이 높은 오늘날 가장 대중적인 웹포럼 소프트웨어 패키지이다. W3Techs에 따르면 전체 인터넷 사이트의 0.1%가 vBulletin 포럼을 운영하고 있다. 이 비율은 작아 보이지만 실제로는 수십억 명의 인터넷 사용자들에게 영향을 미친다.

성격상 포럼은 등록된 사용자에 대한 정보를 수집하도록 설계되어 있기 때문이다. 수십업 개의 인터넷 사이트들은 사용자에 대한 어떠한 정보도 포함하지 않지만 소수의 온라인 포럼들은 대부분의 인터넷 사용자들에게 매우 쉽게 데이터를 요구하고 저장할 수 있다. 따라서 0.1%의 시장점유율은 수치보다 실제로는 상당히 중요하다.

구글 dorks는 인터넷을 통해 자체 호스팅에 설치 또는 vBulletin 호스팅 인프라에서 실행되는vBulletin 포럼이 수만 개가 있다고 밝혔다. 이 웹사이트에서 vBulletin은 Steam, EA, Zynga, NASA, Sony, BodyBuilding.com 등 꽤 비중있는 이름의 고객들이 리스트 되어 있다.

소프트웨어 취약점을 구매해 법 집행기관에 판매하는 제로디움의 프로그램에도 vBulletin 원격코드 실행 취약점이 포함되어 있다. 이것은 범죄 서비스, 악성코드, 아동 학대 이미지와 같은 다크 웹 포럼들이 vBulletin 포럼으로 실행되기 때문이며, 법 집행기관이 이러한 불법 포럼에 접근할 때 취약점을 사용할 수 있기 때문이다. 제로디움의 가격 차트에 따르면 이러한 유형의 인증전 RCE는 최대 1만 달러의 보상을 받을 수 있다.

유일한 좋은 소식은 이 제로데이가 vBulletin 5.x 버전에서만 작동한다는 것이다. 이전 버전을 실행하는 포럼들은 최신 보안 패치를 실행하는 경우 안전하다.