타이거팀 (번역 아티클)

리눅스백도어 SpeakUp에 대한 관련 번역 본문

테크아티클번역

리눅스백도어 SpeakUp에 대한 관련 번역

섬멸의 타이거팀 2019.02.09 21:41



리눅스 백도어 SpeakUp에 대한 아티클 번역



Active Exploits Of ThinkPHP Vulnerability Found Even After Patch 

패치 이후에도 발견된 ThinkPHP 취약성의 활성 공격 





In December 2018, we witnessed active exploits of a ThinkPHP vulnerability. After the discoverers of this flaw posted its PoC, the vulnerability became known within 24 hours. Thus it triggered a barrage of attacks on more than 45,000 websites. While the developers released a patch for this bug, it was still being actively exploits in the wild before the patch was applied.


2018년 12월, 우리는 패치 이후에도 적극적으로 ThinkPHP 취약점이 악용되고있는 걸 목격했다. 

이 취약점을 발견한 연구자들이 개념증명코드인  PoC를 게시한 후, 취약점은 24시간 만에 잘 알려지게 되고, 45,000개 이상의 웹사이트에 대한 공격을 촉발시켰다. 개발진이 이 버그를 패치한 소프트웨어를 빠르게 내놓았지만, 너무나 많은 SW사용자가 있다보면 패치가 더디게 적용되거나, 고객들에게 배포에도 한계가 있기 마련이고, 여전히 익스플로잇 공격이 활발하게 이용되고 있다. 


Precisely, he found multiple payload variations attempting to achieve different malicious goals. This includes crypto mining, web shell backdoor, and other malware attacks. The target machines include Windows, Linux and IoT devices. He further explained about the payloads outlined in his report:


정확히 말하자면,  발견자 Cash dollar는 다른 악의적인 목표를 달성하려는 여러 가지 페이로드 변형을 발견했는데, 윈도, 리눅스, IoT 기기를 대상으로 하는 암호화폐 채굴, 웹 셸 백도어, 기타 악성 프로그램 공격이 포함된다. 


According to his findings, most active exploits are happening in Asia-Pacific – the region from where the ThinkPHP framework originated. However, the attacks do not specifically limit to this area. Rather the attackers are also targeting other locations, including Europe. Precisely, the attackers seem busy in finding as many vulnerable devices as they can for mining Bitcoin and Monero.


그의 연구 결과에 따르면,  ThinkPHP 프레임워크가 집중적으로 사용되는 중국과 인도를 비롯해 아시아 태평양 지역에서 활발하게 공격이 일어나고 있지만, 아시아 지역에 국한된 것은 아니고, 멕시코나 중남미에서도 공격이 다수 발견된다.  공격자들은 비트코인과 모네로를 채굴하기 위해 취약한 장치를 찾느라 유럽을 포함한 다른 곳도 노리고 있다.  




SpeakUp의 공격 분포

<출처 : https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/>








About The ThinkPHP Web Framework Vulnerability

ThinkPHP 웹 프레임워크 취약성

ThinkPHP flaw made it to the news when multiple reports of active exploits of the flaw surfaced online. As revealed last month, a threat group with alias “D3cemb3r” attacked more than 45,000 Chinese websites to spread Miori IoT malware.


ThinkPHP 결함은 이 결함에 대한 모네로 암호화폐등 여러 가지 적극적인 악용에 대한 보도가 온라인상에서 표면화되면서 뉴스로 떠올랐다. 
지난달 드러났듯이 'D3cmb3r'이라는 가명을 가진 위협 집단은 Miori IoT 악성코드를 유포하기 위해 45,000여 개의 중국 웹 사이트를 공격했다.


중국 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 2018년 12월 국가정보보안취약점공유플랫폼(이하 CNVD)을 통해 협력업체(보안업체, 통신서비스업체, 통신기기장비업체)들과 CNCERT 지역 센터, 개인(화이트해커)로부터 접수한 사건형 정보보안 취약점들을 평가해 최종적으로 1,210여개를 확인해 등록했다고 최근 밝혔다.

그중에 하나인  상하이 딩샹정보과기가 개발한 오픈소스 PHP 프레임 ‘Think PHP 5’에서도 원격 코드 실행 취약점(CNVD-2018-24942)이 발견됐다. 공격자는 이 취약점을 이용해 특정 웹사이트를 대상으로 원격 명령 실행 공격을 벌인다. 

다만 우려되는건 중국에는 그외에도 HisiPHP, PHPMyWind, 하얼빈 웨이청과기가 개발한 ‘PHP+MySQL’ 기반의 W3C 표준에 부합하는 웹사이트 구축 시스템 ‘OURPHP’(버전 V1.8.3),

OneThink’ 오픈소스 프레임 기반의 웹사이트 관리 시스템 ‘샤오빙 CMS’,

춘졔공작실이 PHP7 기술로 개발한 콘텐츠관리 프로그램 ‘PHP 7 CMS, PHP와 MySQL를 바탕으로 한 콘텐츠관리 시스템(CMS)인 ‘S-CMS’,

전문 마케팅 기업 웹사이트 구축시스템인 ‘윈요우 CMS 기업 웹사이트 관리시스템’(YUNUCMS) 등 의외로 php를 주력기반으로 한 CMS위주의 웹개발 솔루션 개발이 많이 있다.

 

<보안뉴스 발췌>



The vulnerability primarily exists in the ThinkPHP framework – a web framework developed in China. This remote execution flaw (CVE-2018-20062) enables a potential attacker to execute arbitrary codes. As described by FortiGuard Labs,


이 취약점은 중국에서 개발된 php기반 웹 프레임워크인 ThinkPHP 프레임워크에 존재한다.  FortiGuard Labs에서 설명하듯이 이 원격 실행 결함(CVE-2018-20062)은 잠재적인 공격자가 임의 코드를 실행할 수 있게 한다.


<참고> 

중국 CNCERT 분류 (CNVD-2018-24942) 

Exploit DB (CVE-2018-20062)


The flaw targeted the ThinkPHP versions 5.0 and 5.1. The developers then patched the flaw in the recent versions.

However, even after the patch, Cashdollar discovered the continued exploitation of the flaw. Regarding possible remediation, DarkReading stated that he recommends immediate software upgrade to the current patched version of ThinkPHP framework.


이 결함은 ThinkPHP 버전 5.0과 5.1을 대상으로 하며, 개발자들은 최신 버전의 결함을 패치했다. 그러나 앞에서 밝혔듯이 패치버전을 발표해봤자 워낙 숫자가 많은지라 패치가 더디게 적용되는 탓으로 Cash dollar는 여전히 결함을 악용하는 지속적인 공격을 발견했다.  

DarkReading은 현재 최신 패치된 버전으로  ThinkPHP 소프트웨어를 업그레이드할 것을 권고한다고 말했다..... (그런말은 누가못하냐???)






다음은 같은 내용을 다루는 중국어로 된 기술블로그를 참고해서 번역합니다.  






높임말
높임말 안내



0 Comments
댓글쓰기 폼