워드프레스 테마 'Alone'에 대한 치명적인 무인증 임의 파일 업로드 취약점이 악용되고 있으며, 이를 통해 원격 코드 실행 및 전체 사이트 인수를 달성하고 있습니다. 워드프렌스는 이 악의적인 활동을 보고하며, 고객을 대상으로 한 12만 건 이상의 악용 시도를 차단했다고 밝혔습니다. 또한, 공개적으로 결함이 공개되기 몇 일 전부터 공격이 시작되었다는 것을 보고하였습니다. 이는 위협 행위자들이 웹사이트 소유자에게 경고가 발송되기 전에 쉽게 악용할 수 있는 문제를 발견하기 위해 변경 로그와 패치를 모니터링하고 있다는 것을 나타냅니다.
이 취약점은 CVE-2025-5394로 추적되며, Alone의 모든 버전에 영향을 미칩니다. 벤더인 Bearsthemes는 2025년 6월 16일에 출시된 Alone 버전 7.8.5에서 이를 수정하였습니다. 이 문제는 테마의 'alone_import_pack_install_plugin()' 함수에서 발생하는데, 이 함수는 nonce 검사를 하지 않고 wp_ajax_nopriv_ hook를 통해 노출됩니다. 이 함수는 AJAX를 통한 플러그인 설치를 허용하며, POST 데이터에서 원격 소스 URL을 수락하여 무인증 사용자가 원격 URL에서 플러그인 설치를 트리거할 수 있게 합니다.
워드프렌스에 따르면, 공격자들은 이 결함을 이용하여 ZIP 아카이브 내에 웹쉘을 업로드하거나, HTTP 요청을 통한 지속적인 원격 명령 실행을 허용하는 비밀번호로 보호된 PHP 백도어를 배포하거나, 숨겨진 관리자 사용자를 생성합니다. 일부 경우에는 공격자들이 사이트의 데이터베이스를 완전히 통제할 수 있는 기능이 완비된 파일 관리자를 설치하기도 합니다.
요약
- 워드프레스 테마 'Alone'에 대한 치명적인 무인증 임의 파일 업로드 취약점이 악용되고 있으며, 이를 통해 원격 코드 실행 및 전체 사이트 인수를 달성하고 있다.
- 이 취약점은 CVE-2025-5394로 추적되며, Alone의 모든 버전에 영향을 미친다. 벤더인 Bearsthemes는 2025년 6월 16일에 출시된 Alone 버전 7.8.5에서 이를 수정하였다.
- 공격자들은 이 결함을 이용하여 ZIP 아카이브 내에 웹쉘을 업로드하거나, HTTP 요청을 통한 지속적인 원격 명령 실행을 허용하는 비밀번호로 보호된 PHP 백도어를 배포하거나, 숨겨진 관리자 사용자를 생성한다.
- 일부 경우에는 공격자들이 사이트의 데이터베이스를 완전히 통제할 수 있는 기능이 완비된 파일 관리자를 설치하기도 한다.
- 워드프렌스는 이 악의적인 활동을 보고하며, 고객을 대상으로 한 12만 건 이상의 악용 시도를 차단했다고 밝혔다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.