보안

해킹 예고 받은 유명 포르노 사이트, 쉘 액세스 대가는 1,000달러

Steve Ragan | CSO 2016.05.18
지난 13일 저녁, 1x0123이라는 트위터 계정을 갖고 있는 미상의 해커가 단 1,000달러에 폰허브(Pornhub) 하위 도메인을 표적으로 하는 쉘 액세스와 명령 주입 도구를 제공하겠다고 밝혔다.


Credit: Pornhub

여기에는 폰허브 서버에 액세스한 것을 보여주는 이미지 2개가 포함되어 있었다. 쉘을 업로드한 방법을 묻는 질문에 1x0123은 사용자 프로필 스크립트에 이미지로 쉘을 업로드 할 수 있는 취약점이 존재한다고 대답했다. 그러나 사용자 프로필의 취약점과 최근 공개된 이미지매직(ImageMagick) 취약점은 관련이 없다고 말했다.

쉘을 업로드하면, 적절한 URL 브라우징으로 쉘을 열고, 명령어를 주입할 수 있다. 간단히 말해, 액세스에 대한 대가를 지불한 사람이 컴퓨터 환경을 제어하게 된다. 이런 제안을 한 사람은 워드프레스(WordPress) 취약점이 악용된 직후인 지난 4월에 LA 타임즈 웹사이트에 대한 쉘 액세스를 제공한 사람과 동일 인물이다. LA 타임즈는 나중에 해킹 사실과 이를 해결한 사실을 확인해줬다.

LA 타임즈에 대한 공격 제안 후 얼마 지나지 않아, 1x0123은 파나마 페이퍼스와 관련된 논란의 중심에 있는 모섹 폰세카(Mossack Fonseca)가 이용하고 있는 서버 가운데 하나에 존재하는 SQL 주입 취약점을 공개했다.

1,000달러라는 비용은 아주 작은 것이다. 액세스를 구매한 사람은 누구나 서버의 주요 요소와 여기에서 로딩되는 페이지를 제어할 수 있기 때문이다. 폰허브의 일일 방문자 및 시간당 방문자 수는 각각 6,000만과 210만이다. 쉘 업로드를 초래하는 취약점은 폰허브를 통해 많은 부분을 해킹할 수 있도록 도와준다.

폰허브는 5월 9일 공개 바운티 프로그램(Bounty Program)을 발표했다. 해커원(HackerOne)이 관리하는 초대받은 사람만 참여하는 프로그램이다. 1x0123은 이를 예상한 것으로 보인다. 그는 트위터에 "더 이상 취약점을 공개하지 않고 숨겠다"는 글을 남겼기 때문이다.

1x0123과 알려진 취약점이 관련된 마지막 시기는 2016년 4월 10일이었다. 당시 에드워드 스노든은 1x0123에게 개인적인 감사를 표시했었다. 언론 자유 재단(Freedom of the Press Foundation)의 피윅(Piwik) 취약점을 알려준 것에 대한 감사다.

다음은 필자가 해커원과 폰허브에 지속적으로 연락하면서 이번 해킹에 대한 소식을 업데이트한 내용이다.

5월 15일 오전 업데이트: 폰허브 바운티 프로그램은 초대자 전용 프로그램에서 공개 프로그램으로 바뀌었다. 폰허브 대변인은 트위터를 통해 사용하지 않는 서버의 쉘이지만, 조사하고 있다고 밝혔다.

15일 오후 업데이트: XMPP(Extensible Messaging and Presence Protocol)로 커뮤니케이션을 할때 '리볼버(Revolver)'라는 가명을 사용하는 1x0123은 3명의 사람에게 폰허브에 대한 액세스를 판매했다고 말했다. 그는 필자에게 "2명이 쉘을, 1명이 명령 주입 스크립트를 구입했다"고 말했다.

폰허브는 더 자세한 정보를 얻기 위해 '리볼버'에게 연락했다. 그는 총 5,000달러에 세부 사항을 공유하고, 액세스를 가능하게 만드는 취약점을 패칭하는데 도움을 주겠다고 제안했다. 그러나 폰허브가 여기에 동의했는지 확실하지 않다.

15일 저녁 업데이트: 폰허브는 15일 저녁에 발표한 보도자료에서 이번 사건은 '장난'에 불과하다고 설명했다. 리볼버가 설명한 방법은 실현 불가능하다는 것이 그 이유였다. 폰허브는 테스트 서버나 사용하지 않는 서버가 표적이라고 생각했다. 그러나 이후 해킹 당한 서버가 없다는 결론을 내렸다.

방법이 유효하지 않은 이유를 묻자, 폰허브의 대변인은 리볼버와 협력하고 있다고 대답했다. 리볼버는 쉘 덤프에 사용한 파일 사본 하나를 제공했다. 폰허브에 따르면, 이 파일은 아바타 크기 제한때문에 서버에 업로드할 수 없다.

폰허브 대변인은 "서버가 이 가짜 이미지 파일을 수용해도, 우리는 코드가 이미지 확장자로 실행되는 것을 불허한다. 그는 앞뒤가 맞지 않는 정보를 제공하고, 대화를 빨리 중단했다"고 말했다.

엔지니어 한 명은 리볼버가 설명한 기법은 PHP 코드가 포함된 이미지 파일을 업로드하는 기법이지만, 서버는 PHP를 실행할 수 없게 설정되어 있어 공격이 실패할 것이라고 추가 설명했다.

폰허브가 리볼버의 도움에 대가를 지불했는지 묻는 질문에, 대변인은 답변을 거부했다. 다음은 폰허브가 발표한 보도자료 전문이다.

"폰허브 팀은 1x0123이라는 해커의 주장이 사실인지 조사했다. 조사 결과, 기반 인프라를 모르는 사람들에게는 진짜 같은 스크린샷 이미지가 제시됐지만, 해커가 설명한 공격은 기술적으로 불가능하다는 것이 입증됐다. 결국 장난에 불과하다. 폰허브 시스템은 해킹 당하지 않았다. 폰허브는 사용자의 안전을 최우선으로 생각하고 있다. 우리는 공개 버그 바운티 프로그램을 운영하고 있다는 사실을 강조한다. 적법하게 취약점을 찾아 알려주면 최고 2만 5,000달러의 보상을 제공하는 프로그램이다." editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.