2014.12.01

워드프레스, 쉽게 악용할 수 있는 버그 발견

Dave Lewis | CSO
최근 강력한 CMS 소프트웨어인 워드프레스(Wordpress)의 새로운 버전은 이전 버전의 보안 문제가 제기되면서 널리 퍼지기 시작했다.

필자는 거의 10년동안 워드프레스를 사용하고 있었다. 필자는 이 소프트웨어의 자체적인 결함과 보안 문제에도 불구하고 꽤나 좋아한다.

이 소프트웨어는 타임(Time), UPS, NBC 스포츠, CNN, 테크크런치(Techcrunch), 그리고 디펜던트(The Independent)와 같은, 잘 알려진 웹사이트에서 널리 사용되고 있다.

우리의 시간을 잡아먹는, 이번 문제는 무엇일까
이번 문제는 워드프레스 버전 4 이전 버전에서 내부에서 발생했다. 최근 버전인 4.0.1은 해당 사이트에 침투하려는 비인증 사용자에게 접속을 허용할 수 있는 일부 심각한 보안 문제를 해결했다.

이것은 사이트에 침투할 수 있는 XSS(cross site scripting) 문제로 시작한다. 이후 XSS는 비밀번호 변경하기에서 사용자를 속일 수 있는 문서 위조를 요청한다. 이는 4.0 발표에서 일부 다른 보안 문제 23개와 함께 모두 해결됐다.

이 많은 취약점 가운데 가장 나쁜 것은 핀란드 보안업체인 클리키 오이(Klikki Oy) CEO 요코 핀노엔에 의해 발견됐다.

피노엔은 "주석 내에 주입된 이 프로그램 코드는 블로그 관리자가 해당 주석을 볼 때, 그 관리자의 웹 브라우저 내에 실행된다. 이 악성코드는 암암리에 관리자 계정을 획득한 뒤 관리자의 운영 권한을 장악한다"고 설명했다.

만약 워드프레스 사용자라면 아직 이런 징조가 있기 전에 지금 바로 패치해야 한다.

빌트위드(BuiltWith)에 따르면, 워드프레스 4.0은 2,495만 6,249회나 다운로드받았다. 워드프레스는 2014년 11월 현재, 대략 1,270만 웹 사이트에서 실행하고 있다.

이는 적지 않은 수이며, 필자는 끔찍한 상상을 할 수 밖에 없다. 필자는 이들 가운데 얼마나 많은 이들이 패치를 하지 않을까 궁금해진다.

약 280만 사이트가 여전히 워드프레스 버전 3.9에서 실행되고 있다. 머지않아 수많은 사이트들이 해킹당하는 것을 보게 될 것이다. 지금이 바로 패치할 시간이다. editor@itworld.co.kr


2014.12.01

워드프레스, 쉽게 악용할 수 있는 버그 발견

Dave Lewis | CSO
최근 강력한 CMS 소프트웨어인 워드프레스(Wordpress)의 새로운 버전은 이전 버전의 보안 문제가 제기되면서 널리 퍼지기 시작했다.

필자는 거의 10년동안 워드프레스를 사용하고 있었다. 필자는 이 소프트웨어의 자체적인 결함과 보안 문제에도 불구하고 꽤나 좋아한다.

이 소프트웨어는 타임(Time), UPS, NBC 스포츠, CNN, 테크크런치(Techcrunch), 그리고 디펜던트(The Independent)와 같은, 잘 알려진 웹사이트에서 널리 사용되고 있다.

우리의 시간을 잡아먹는, 이번 문제는 무엇일까
이번 문제는 워드프레스 버전 4 이전 버전에서 내부에서 발생했다. 최근 버전인 4.0.1은 해당 사이트에 침투하려는 비인증 사용자에게 접속을 허용할 수 있는 일부 심각한 보안 문제를 해결했다.

이것은 사이트에 침투할 수 있는 XSS(cross site scripting) 문제로 시작한다. 이후 XSS는 비밀번호 변경하기에서 사용자를 속일 수 있는 문서 위조를 요청한다. 이는 4.0 발표에서 일부 다른 보안 문제 23개와 함께 모두 해결됐다.

이 많은 취약점 가운데 가장 나쁜 것은 핀란드 보안업체인 클리키 오이(Klikki Oy) CEO 요코 핀노엔에 의해 발견됐다.

피노엔은 "주석 내에 주입된 이 프로그램 코드는 블로그 관리자가 해당 주석을 볼 때, 그 관리자의 웹 브라우저 내에 실행된다. 이 악성코드는 암암리에 관리자 계정을 획득한 뒤 관리자의 운영 권한을 장악한다"고 설명했다.

만약 워드프레스 사용자라면 아직 이런 징조가 있기 전에 지금 바로 패치해야 한다.

빌트위드(BuiltWith)에 따르면, 워드프레스 4.0은 2,495만 6,249회나 다운로드받았다. 워드프레스는 2014년 11월 현재, 대략 1,270만 웹 사이트에서 실행하고 있다.

이는 적지 않은 수이며, 필자는 끔찍한 상상을 할 수 밖에 없다. 필자는 이들 가운데 얼마나 많은 이들이 패치를 하지 않을까 궁금해진다.

약 280만 사이트가 여전히 워드프레스 버전 3.9에서 실행되고 있다. 머지않아 수많은 사이트들이 해킹당하는 것을 보게 될 것이다. 지금이 바로 패치할 시간이다. editor@itworld.co.kr


X