PHP 프로그래밍 언어의 치명적인 역직렬화 취약점을 쉽게 트리거링 할 수 있는 새로운 익스플로잇 기술이 지난주 블랙햇 USA에서 공개됐다. 워드프레스를 이용해 제작된 사이트들의 각별한 주의가 요구된다.

이 기술은 인기있는 컨텐츠 관리 시스템인 워드프레스와 Typo3 등으로 만들어진 웹사이트를 포함한 수 십만개의 웹 애플리케이션을 대상으로 원격 코드 실행 공격을 할 수 있어 위험하다.

PHP 역직렬화 또는 오브젝트 인젝션 취약점은 2009년 처음 문서화 되었으며, 이는 공격자가 unserialize() PHP 함수에 악성 입력을 제공해 여러 종류의 공격을 실행할 수 있도록 한다.

Serialization은 데이터 오브젝트를 순수 문자열 형태로 변환하는 프로세스이며, unserialize 함수는 프로그램이 문자열을 다시 오브젝트로 재생성할 수 있도록 한다.

연구원은 공격자가 Phar 아카이브에 위험도 낮은 함수를 사용해 unserialize() 함수를 사용하지 않고도 역직렬화 공격을 촉발시켜 다양한 공격을 실행할 수 있는 것을 발견해 공개했다.

Phar 파일은 PHP의 아카이브 포맷으로 메타데이터를 serialized 포맷으로 저장하며 파일 작업 함수(ｆｏｐｅｎ, file_exists, ｆｉｌｅ_ｇｅｔ_ｃｏｎｔｅｎｔｓ 등)가 아카이브 파일에 접근을 시도할 때 마다 unserialized 된다.

올해 블랙햇 USA에서 공개 된 논문에서 토마스는 이 공격이 워드프레스 사이트들에서 어떻게 실행 되어 웹 서버 전체를 제어할 수 있는 권한을 가질 수 있는지 시연해 보였다.

이 취약점의 성공적인 악용을 위해 공격자가 해야할 일은 악성 페이로드 오브젝트를 포함한 유효한 Phar 아카이브를 타깃의 로컬 파일 시스템에 업로드하고, "phar://"을 이용해 파일 작업 함수가 여기에 접근하도록 만드는 것이다.

또한 그는 공격자가 첫번째 바이트 100개를 변조함으로써 Phar 아카이브를 유효한 JPEG 이미지로 변환시켜 이 JPEG 이미지를 이용해 취약점을 악용할 수 있는 것도 발견했다.

관련 분석 보고서는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★